Abelia

Innhold

Eierskap, deling av data, personvern og datasikkerhet

Nyhet, Teknologi og digitalisering, Data

Publisert

#205

Hvem eier dataene og hvordan kan vi sikre trygg datadeling?

Denne artikkelen er en del av Menonrapporten "Er verdiskaping med data noe Norge kan leve av".

Data er en ressurs som kan utnyttes bedre. All offentlig og privat oppgaveløsing og tjenesteutvikling innebærer bruk av data. Måten vi utnytter data på er i stor endring, og åpner for helt nye måter å løse oppgaver på. Økt deling av data er en forutsetning for mer sammenhengende og skreddersydde tjenester til brukerne. Samtidig er det viktig at vi har et regelverk som tar hensyn til personvern når det kommer til bruk av personlig data.

Det skal legges bedre til rette for viderebruk av åpne data. Viderebruk av offentlig og privat eid informasjon handler om å gi næringsliv, forskere og sivilsamfunn tilgang til åpne data fra ulike sektorer på en måte som gjør at de kan brukes i nye sammenhenger, skape nye tjenester og gi økt verdiskaping. Brukerne skal for eksempel unngå å oppgi informasjon som det offentlige allerede har innhentet. Økt deling av data er også en forutsetning for utvikling av sammenhengende tjenester på tvers av sektorer og forvaltningsnivåer. Lovverket må sikre at offentlig sektor skal dele data når den kan og skjerme data når den må.

Problemstillinger i den digitale økonomien

I ulike policydokumenter fra EU, OECD og bl.a. Storbritannia er det fem problemstillinger som går igjen når det «ryddes» i debatten om deling og verdi av data både offentlig og privat sektor:

  1. Eierskap og kontroll: Strategier for økt deling av data må uansett forholde seg til det eksisterende juridiske rammeverket for eierskap og kontroll. Dagens rammeverk gir betydelige muligheter for å begrense datadeling på flere ulike måter, her illustrert av tre eksempler. For det første finner vi at private kan nekte at deres data deles gjennom personvernregler og prinsippene i GDPR-lovgivningen21. For det andre finner vi at data kan være beskyttet av opphavsrett som begrenser viderebruk. For det tredje finnes regler som gir muligheter for å begrense tilgang til databaser. EU-direktivet «Public Service Information directive» (Viderebruksdirektivet) som er en del av EØS-avtalen er eksempel på et nytt rammeverk som kan bidra til økt deling (offentlige data skal være frie/gratis). 
  2. Personvern: Med GDRP-lovgivningen har vi fått et rammeverk som gir en mer tydelig beskyttelse av persondata. Dette må i utgangspunktet vurderes som en mulighet, da tillit er en forutsetning for å tilegne seg persondata. 
  3. Åpne offentlige data: Alle OECD-land er i gang med ulike initiativ for å åpne offentlige data, slik at både offentlige og private aktører kan benytte disse til nyskaping. Det er viktig at data både er åpne og tilgjengelige. 
  4. Interoperabilitet og standarder: Utvikling av standarder og infrastruktur for sammenkobling av data drives frem av myndigheter og overnasjonale organisasjoner. For eksempel tvinger EUs nye bankdirektiv frem at bankene må gi en mer åpen tilgang til dataene sine.
  5. Trygg og lovlig datadeling: Deling av data må være lovlig, men ulike nasjonale og overnasjonale strategier og utredninger viser at det oftere er mangel på trygg og rettferdig og etisk akseptabel av ata som hindrer aktørene. Såkalte «data trusts» kan være én type  offentlig-privat delingsinfrastruktur.

Hvem eier dataene?

Data samles inn på mange ulike måter over et bredt spekter av gjenstander og personer. Dette kan være alt fra persondata i helsevesenet eller data fra sensorteknologi. Er det aktøren som har samlet inn data, eller er det de som har rapportert eller produsert data på ulike måter som er eier av informasjonen dataen inneholder.

Dette er et omdiskutert tema. For eksempel har debatten rundt personlig data rast i mediene, med de globale plattformselskapene i fokus. Sikkerhetsbrudd, tyveri av personlig data og omstridt bruk av  dataene er noe som har fanget folks oppmerksomhet. Personlige data er i dag en viktig brikke i forretningsmodellene for mange aktører. Kommersielle verdier fra personlige data kan skapes ved for eksempel målrettet reklame som stimulerer til flere salg og mer effektiv varedistribusjon. Enkelte aktører selger også personlig data direkte til tredjepart.

I enkelte tilfeller behøver ikke eierskapet til data være vanskelig å definere, dette kan for eksempel omfatte sensorteknologi som måler ulike deler av en produksjonsprosess. Et problem som kan oppstå med leasingkontrakter på maskiner vil kunne være å bestemme om det er utleier eller den som leaser objektet det samles data fra som dataeier. 

Dessuten: hva om sensoren brukes i helsesektoren og samler inn data om en person? Er det da eieren av sensoren eller personen det samles inn data om som sitter med eierskapet til informasjonen? For å problematisere ytterligere kan man legge enda en dimensjon til diskusjonen; er det slik at de som tilfører data verdi ved å bearbeide den også sitter på en form for eierskap? Vi kan systematisere dette i tre ledd; personen som skaper data, de som bruker sensorer til å registrere data og eventuelle aktører som aggregerer og analyserer dataen. Til tross for disse utfordringene, vil slike problemer i de fleste tilfeller kunne løses ved at partene inngår en avtale hvor dette fremkommer av kontraktsvilkårene.
 
I EU og EØS fikk vi i 2018 et regelverk for å ivareta rettighetene til de som deler personlige data. Regelverket gir individet råderett over egne data, som diskutert i kapittel 2.4.5. Lovverket har ikke som formål å begrense bruken av personlig data, men er tvert imot et forsøk på å skape tillit til at den kan benyttes. Personlige data er slik sett eid av individet, men samtidig hindrer ikke regelverket at aktører benytter dataene i kommersielt øyemed. Slik er det tydelig at eierskap til data er vanskelig å definere og graden av konflikt avhenger av hva slags data det er snakk om. For eksempel kan data om dine personlige preferanser for smartbelysing ikke være interessant for deg, men ha verdi for de som utvikler produktet. 
 
Et eksempel på en dataplattform med en interessant eierstruktur er DISKOS. DISKOS-plattformen består av en rekke medlemmer som arbeider med olje og gass både direkte og indirekte, og de betaler en årlig kontingent for å være del av plattformen. Her vil medlemmene laste opp seismikk-, brønn- og produksjonsdata. Dette er de pålagt av myndighetene. Plattformen åpner opp for deling og salg av denne typen data. Selskapet som laster opp data beskyttes mot  innsyn i 10 år. Tolkede data holdes unna innsyn i 20 år. Myndighetene tjener ikke penger på salg av slik data, men når konfidensialitetsperioden utgår kan data offentliggjøres av Oljedirektoratet. Et eksempel på offentlig bruk av slike data er utviklingen av et CO2-atlas over «ledige og tette» reservoarer som egner seg for karbonlagring.Vi har tidligere beskrevet de ikke-rivaliserende egenskapene ved data.
 
Varian (2018) argumenterer for at nettopp denne egenskapen er årsaken til at data sjeldent kjøpes og selges slik som andre varer eller tjenester, men heller lisensieres for en spesifikk bruk. Han mener derfor at, fra et økonomisk perspektiv, er tilgang på data en mer relevant problemstilling enn eierskap av data.

Deling av data

Vekstpotensialet for norsk næringsliv ligger ikke bare i dataene, men i en kombinasjon av tilgjengelige og godt strukturerte data, en infrastruktur som knytter det hele sammen, tilgang på prosesseringskraft og digitale teknologier, og spisskompetanse til å utnytte potensialet i helheten.

Det offentlige har i dag utarbeidet retningslinjer for tilgjengeliggjøring og deling av data, og flere departement har utarbeidet egne strategier for offentlig data. Det er tre hovedgrunner til at tilgang på åpne offentlige data er viktig for samfunnet:

  1. Effektivisering og innovasjon: Når data blir delt mellom virksomheter får vi bedre samhandling, mer rasjonell tjenesteutvikling og bedre offentlige tjenester.
  2. Næringsutvikling: Næringslivet får mulighet til å utvikle nye tjenester, produkter og forretningsmodeller basert på tilgang til offentlig informasjon. 
  3. Et åpent og demokratisk samfunn: Tilgang til grunnlag for beslutninger og prioriteringer i offentlig sektor gir bedre mulighet til å få innsyn i hvordan beslutninger følges opp og hva effekten av politiske tiltak er.

Direktøren i Difi har uttalt at «Med en helhetlig satsing på deling av data kan Norge oppnå mye. Vi kan realisere en brukerorientert, effektiv og datadrevet forvaltning som tilrettelegger for "kun en gang, privat" og offentlig innovasjon, samt proaktive tjenester til innbyggerne.»

Deling av data kan gi reduserte kostnader for samfunnet og flere og bedre sammenhengende tjenester til innbyggerne. Det vil også stimulere til næringsutvikling i privat sektor. Fordi teknologi og data er i rask utvikling, må tiltakene innenfor hvert av områdene utvikles smidig og trinnvis over tid. Samarbeid med virksomheter, både i offentlig og privat sektor, blir sentralt. En grunn til at offentlig sektor kan ønske å ikke dele data kostnadsfritt med hverandre, næringslivet og privatpersoner, er på grunn av bortfall av inntekter til de ulike etatene, og spesielt etater som er avhengig av andre former for inntekter enn overføringer i sin drift.

Det er også en mulighet at næringslivet deler data både mellom seg og individer. Grunner til å åpne opp for dette kan være at bedriften ønsker å selge datarelatert tjenester til andre bedrifter, bistå samarbeidspartnere og andre deler av verdikjeden (fremme samarbeid). Det er likevel usikkert om et slikt samarbeid vil kunne bli etablert utenfor en verdikjede. Et eksempel på deling av næringslivets data ble gjort av gruveselskapet Goldcorp. I 2000 valgte selskapet å publisere deler av selskapets data og arrangerte en konkurranse med en førstepremie på 575 000 dollar for de som fant den beste metoden å lokalisere gull i gruvene deres. Konkurransen ledet til at hele 110 mål ble lokalisert og gull for over 3 milliarder dollar ble hentet ut. Mer interessant enn dette eksempelet er, som i tilfellet med offentlige data, å koble ulike datasett sammen for å finne nye bruksområder og løsninger.

Det finnes, som nevnt, også andre situasjoner hvor private aktører deler data. Slike aktører deler ofte data med hverandre og det kan da være snakk om både samarbeidspartnere på de ulike feltene og leverandører av utstyr og tjenester. Slik kan hele verdikjeden utnytte tilgjengelig informasjon til å forbedre ogfornye seg. Den såkalte DISKOS-plattformen har bidratt til å forenkle deling av data mellom aktører i olje- og gassnæringen. Flere nye norske virksomheter  har etablert seg som slike private data-plattformaktører de seneste årene.

Eksempler på dette er DNV-GLs Veracity- lattform som i dag har 170 000 brukere og ca. 170 ulike tjenester, Kongsberg Digital med Kognify, Tine og Felleskjøpets satsing på et økosystem for data for landbruket kalt Mimiro og REV Oceans «The Ocean Data Platform». Sistnevnte bygges på «Cognite Data Fusion»-teknologien til det norske selskapet Cognite. Cognite leverer også denne løsningen til flere andre sektorer.

Viderebruksdirektivet

Viderebruksdirektivet er et EU-direktiv om viderebruk av offentlige informasjon, som gjennom EØS-avtalen også gjelder for Norge. Med viderebruk menes at andre enn offentlig sektor selv (næringsliv og sivilsamfunn) tar i bruk offentlige data. Data som viderebrukes kan være bearbeidet eller koblet sammen med andre data, fra private eller offentlige kilder. Dette gir ofte bedre tjenester.

I 2019 ble lovgivningen endret for å gjøre offentlige data lettere tilgjengelig, enten gratis eller til en lav marginalkostnad. Forslaget innebærer blant annet en utvidelse av direktivets anvendelsesområde ved blant annet å inkludere tilgang i sanntid til dynamiske data, økt tilgang til offentlige datasett av høy kvalitet, tilgang til data fra leverandører som for eksempel gjør oppdrag på vegne av det offentlige, samt utvidelse av forbudet mot eksklusive avtaler.

Høyverdige datasett har potensial til å skape samfunnsøkonomiske gevinster, øke antallet brukere, skape høyere inntjening og kombineres med andre datasett. Gratis tilgjengeliggjøring vil bli aktuelt så lenge dette ikke påvirker konkurransen negativt i enkelte markeder.

Et av målene med endringene er å gjøre det vanskeligere for offentlige etater å ta mer betalt enn marginalkostnaden ved deling av data. Det kan bidra til at terskelen for å bruke dataen reduseres. Samtidig slår direktivet fast at utleveringen av data ikke skal være til hinder for offentlige myndigheters normale drift. Dersom de har store kostnader knyttet til å utføre oppgavene sine eller til å samle inn, produsere, reprodusere og spre data og dokumenter, kan de ta et gebyr som er høyere enn marginalkostnaden, men gebyret må være etterprøvbart.

Det er flere som har bemerket at det er uklare statsfinansielle konsekvenser av å tilgjengeliggjøre offentlige data, slik direktivet krever, avhengig av hva som havner på listen over høyverdige datasett. Dette kommer av at staten mister inntekter fra deling av data, samt at det trolig vil påløpe utgifter når det kommer til tilgjengeliggjøring av for eksempel sanntidsdata. Det er påpekt at utvelgelsen av høyverdige datasett er avgjørende for utslaget i statsfinansene.

Den norske regjerningen mener at de nye reglene begrenser unntakene som gjør det mulig for offentlige organer å kreve inn mer enn de marginale omkostningene ved formidling av data når disse gjenbrukes. Samtidig skal kostnader forbundet med anonymisering av persondata bli betraktet som del av marginalkost.
 

Personvern

Tillit er en av hjørnestenene i den digitale økonomien. For å skape tillit til å dele data, kreves blant annet reguleringer som gir datadeleren rettigheter.

I en undersøkelse (Salesforce Research, 2018))  svarer om lag 90 prosent av respondentene at de er mer villige til å dele personlige data med et selskap om de gir datadeler innsikt i hvilke data som er samlet inn og denne benyttes.

For individer har EU kommet med et regelverk som er ment å sikre rettigheter til de som har delt personlige data. GDPR (The General Data Protection Regulation) eller personvernforordningen trådte i kraft 20. juli 2018.42 Formålet med det nye regelverket er gitt i artikkel 1 av reguleringsteksten:

Juridisk om personopplysninger

«Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.»

Kilde: (Lovdata, 2018), Artikkel 4

  1. Denne forordning fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger samt regler om fri utveksling av personopplysninger. 
  2. Denne forordning sikrer vern av fysiske personers grunnleggende rettigheter og friheter, særlig deres rett til vern av personopplysninger.
  3. Fri utveksling av personopplysninger i Unionen skal verken begrenses eller forbys av årsaker knyttet til vern av fysiske personer i forbindelse med behandling av personopplysninger.

Loven sikrer også personer rett til innsyn i hvilke data som er samlet inn om dem, hva de brukes til, hvem som har fått tilgang til disse, hvor lenge de er forventet å bli oppbevart, rett til å anmode om sletting eller retting av data, begrense behandlingen av dataene og protestere mot bruk, og hvor dataen kommer fra (om den ikke er oppgitt av personen selv). Et selskap kan få en bot på opptil 4 prosent av sin samlede globale årsomsetning ved brudd på det nye regelverket.

Det nye regelverket sikrer i større grad enn tidligere at de som behandler personlige data tar ansvar og følger strenge retningslinjer. Likevel er enkelte skeptiske til utformingen av det nye regelverket. Det blir trukket frem at hensikten med GDPR er at det lagres så lite data som mulig. Samtidig krever kunstig intelligens mye data, derfor frykter enkelte at GDPR begrenser utviklingen av slik teknologi.

GDPR er ikke ment å begrense databruken, men gi individer innsikt i data om dem selv og klart definerte rettigheter knyttet til bruk og lagring, ved for eksempel rett til sletting under visse forutsetninger. 
 
Det er viktig å huske på at ikke alle typer data omfattes av personvernproblematikken: I Norge vil en stor del av potensialet knyttet til ressursen data kunne realiseres i industrier hvor data om ting, såkalt Internet of Things (IoT), snarere enn data om mennesker, er den viktigste dataressursen.

Personvern

Datasvindel eller – tyveri, samt internettangrep og sammenbrudd i infrastruktur knyttet til data og datadeling, er rangert som både sannsynlig og med potensiell høy negativ påvirkning. Dette kommer frem når World Economic Forum (WEF) vurderer globale risker i sin Global Risk Report (GRR) for 2019. Spesielt anslås internettangrep å ha svært store konsekvenser. Et eksempel som trekkes frem, er dataangrepet mot indiske myndigheter i 2018, hvor ID-databasen med informasjon om alle de 1,1 milliarder innbyggerne ble stjålet.

Datasikkerhet, eller informasjonssikkerhet, er tiltak for å beskytte informasjon. Det inkluderer både beskyttelse mot tap av data og mot ulovlig innsyn, misbruk eller tyveri av informasjon. Moderne IKT- systemer bruker en rekke metoder for å fremme informasjonssikkerhet. Konfidensialitet og tilgjengelighet søkes sikret gjennom å definere hva bestemte personer eller roller skal ha tilgang til av informasjon, og sikre at de riktige personene, og bare de, har tilgang. Sikringsmekanismene er vanligvis krypteringsalgoritmer, og tilgang til sensitiv informasjon for autoriserte personer oppnås gjerne ved tilgang til kryptonøkler tilpasset den enkeltes sikkerhetsklarering.

Carrière-Swallox og Haksar (2019) argumenterer i IMF-rapporten The Economics and Implications of Data for at data som et fellesgode, kjennetegnet ved ikke-rivaliserende og ikke- kskluderende egenskaper, ikke gir privatøkonomiske incentiver for å investere i datasikkerhet som er tilstrekkelig for å oppnå et samfunnsmessig optimalt investeringsnivå. 

I den rapporten vises det til OECD, som hevder at en forutsetning for en effektiv digital økonomi er tilliten til at data vil bli tilstrekkelig beskyttet av motparter. Tilsvarende vil effekten av negative hendelser knyttet til personvern eller datasikkerhet, ha konsekvenser som overgår konsekvensene ved enkelthendelsen fordi det svekker den generelle tilliten til at personvern eller datasikkerhet ivaretas. Ved å redusere tilliten, reduseres også villigheten til å dele data.
 
Tillit er altså viktig for å kunne etablere en praksis for økt deling av data. Norge er et av landene i verden som skårer høyest når det kommer til tillit i samfunnet generelt, og også i arbeids- og næringslivet. Norge kommer høyt opp på Verdensbankens årlige kåring «Doing business», blant annet som følge av at tillit til institusjonene og rettsvesenet er høyt, og at denne «infrastrukturen» for å drive forretningsvirksomhet dermed rangeres som svært god. Dette er også én av grunnene til at Norge nå tiltrekker investeringer fra store aktører i såkalte datasentre. Datasentre er i seg selv en betydelig data-basert verdiskapingsmulighet for Norge.
 
God Informasjonssikkerhet vil derfor være et fortrinn for Norge og koblingen mot de sterke sikkerhetsmiljøene ved de akademiske institusjonene blir viktig. Norge har noen av Europas sterkeste krypto- og informasjonssikkerhetsmiljøer, bl.a. ved NTNU (Gjøvik og Trondheim). Regjeringens betydelige satsing på datasikkerhet er et signal på at man sakte men sikkert begynner å innse hvor viktig denne typen infrastruktur er for å kunne realisere verdiene av data som en ressurs for økt verdiskaping i norsk næringsliv.

Lurer du på noe? Kontakt meg gjerne:

Hei!

Hei!

Vil du få vårt ukentlige nyhetsbrev på e-post?

Avmeldingen er mottatt!

Din e-post:

 

Meld deg på 1 nyhetsbrev: