Personopplysninger til reklame, tjenester og produkter

Produktene, tjenestene og løsningene vi bruker i hverdagen høster inn flere opplysninger om oss enn noen gang før. Basert på analyse av innsamlede personopplysninger, blir produkter og tjenester tilpasset den enkelte.

En gjennomsnittsnordmann brukte i 2018 nær tre timer på internett hver dag. En stor del av denne tiden tilbringes på digitale plattformer styrt av selskaper som har intensiv datainnsamling som bærende forretningsmodell. Verdens lagrede datamengde vokser i et voldsomt tempo. 5G-nettet, som vil tas i bruk i Norge i løpet av 2020, vil dramatisk øke mobilnettets kapasitet og kraft. Dette vil gi et kraftig dytt til utbredelsen av tingenes internett og smarte hjem.

Vi ser også nye sektorer åpner opp for å tilrettelegge for økt bruk av personopplysninger. Nye europeiske regelverk har endret rammebetingelsene i banksektoren. Dette har ført til at økonomiske personopplysninger også kan brukes til å utvikle nye banktjenester.

Vi har stilt spørsmål om holdninger til målretting av digitale annonser, politiske partiers bruk av slik digital målretting, tingenes internett og smarte hjem. I lys av innføringen av det nye betalingstjenestedirektivet fra EU har det også blitt stilt spørsmål om holdninger til å dele data om personlig økonomi i bytte mot brukervennlige banktjenester.

Negative til målrettet annonsering

En lang rekke selskaper følger med på og samler informasjon om folks individuelle preferanser og atferd når de bruker internett. Denne informasjonen blir kjøpt og solgt på store, internasjonale børser for at markedsførere skal kunne treffe best mulig med sine skreddersydde annonser. Den digitale annonseindustrien er lukket, kompleks og tilbaketrukket. Facebook og Google er de største aktørene, men det finnes mange tusen andre selskaper som profitterer på kjøp og salg av personopplysninger. Folks privatliv blir dermed i stadig større grad nærgående kartlagt av kommersielle aktører som er fullstendig ukjente for de fleste.

For å undersøke folks holdninger til målrettet annonsering, har vi spurt om hvor positive eller negative de er til at nettsteder, søkemotorer og sosiale medier samler inn informasjon om nettaktivitet for å selge målrettede annonser.

Når vi bryter svarene ned på alder, ser vi at:

• blant de over 50 år er åtte av ti negative til målrettede annonser.
• de yngste, som er mellom 15 til 19 år, er betydelig mindre negative til målrettet reklame i forhold til andre aldersgrupper. Likevel er nesten halvparten (48 prosent) av de yngste negative.

Svarene viser at et stort flertall av befolkningen er skeptiske til målrettet reklame. Disse tallene er konsistente med tidligere undersøkelser vi har gjennomført. I en undersøkelse til rapporten «Personvern – tilstand og trender 2016» spurte spurte vi et representativt utvalg av befolkningen om de ville valgt å se reklame som er tilpasset atferd eller interesser, eller om de ville se «dum» reklame som viser tilfeldige produkter. Svaret viste at tre av fire nordmenn ville valgt å få tilfeldig reklame. Flere undersøkelser peker mot en voksende kløft mellom den digitale annonseindustriens metoder og folks oppfatning av hva som er greit. En undersøkelse gjennomført av cybersikkerhetsfirmaet RSA Security viser for eksempel at kun 17 prosent av de spurte anser personalisert reklame som etisk.

Som tidligere nevnt, så vi i 2015 på økosystemet i den digitale annonseindustrien i rapporten «Det store Datakappløpet». Siden den gang har denne industrien vokst ytterligere, men også blitt satt under sterkere press. Datatilsynsmyndigheter i flere europeiske land har mottatt klager rettet mot denne bransjens bruk av personopplysninger. De ulike klagene er ikke helt ensartede, men felles for dem alle er at de peker på at den bærende forretningsmodellen for kjøp og salg av annonseplasser på nett, sannsynligvis bryter med en lang rekke av prinsippene i personvernforordningen.

Skeptiske til målretting av politiske budskap

Verktøyene som kommersielle aktører bruker for å målrette annonser, blir også brukt for å påvirke velgermasser og vinne valg verden over. Politiske partier og kandidater, pressgrupper og organisasjoner har mulighet til å benytte informasjon som er samlet inn om velgernes aktivitet på internett og i sosiale medier for å kunne sende politiske annonser rettet mot de antatt mest mottakelige personene.

Politiske partier i Norge har gradvis flyttet annonsekroner fra aviser til sosiale medier, og først og fremst til Facebook. Datatilsynets rapport om hvordan politiske partier målrettet politiske budskap i forkant av lokalvalget i 2019, viste at de fleste annonsene, både de målrettede og de som siktet bredt, ble distribuert på Facebook. Dette innebærer at en større og større del av vår felles politiske offentlighet er flyttet over på denne plattformen, og avgjørelser som tas i deres styrerom får direkte konsekvenser for hvordan vår politiske offentlighet fungerer. Hvor grensene går for lovlig og etisk velgerprofilering er ikke hugget i stein, men mest mulig effektiv kommunikasjon i sosiale medier anses av alle partier som en av de viktige suksessfaktorene for en vellykket valgkamp.

Siden målretting av politiske budskap har blitt en viktig del av partienes valgkamp, har vi spurt hva respondentene synes om at politiske partier bruker informasjon personene har registrert på internett og i sosiale medier for å sende dem politisk reklame.

Svarene viser:

• Tre av fire nordmenn er negative til politisk målretting av budskap basert på personlig informasjon hentet fra internett.
• Den negative holdningen til politisk målretting av budskap er den samme uavhengig av alder, kjønn, inntekt og utdanning.

Aksepten for denne måten å drive politisk påvirkningsarbeid er med andre ord svært lav, samtidig som det er en valgkampmetode som alle norske partier satser tungt på. Det er grunn til å tro at motstanden har sammenheng med Cambridge Analytica-saken og en generell økende skepsis mot den datadrevne forretningsmodellen til de store teknologiselskapene.

Facebooks algoritmestyrte annonseløsning kan gi politiske partier en helt annen spredningskraft enn en annonse i lokalavisen. Partier styrer ofte ressursene mot plattformene som gir best uttelling. Politiske partier bør likevel merke seg den utbredte skepsisen mot algoritmedrevet valgkamp i sosiale medier.

Negative til å dele finansielle opplysninger

Finans- og banksektoren i Norge, som i resten av verden, gjennomgår store endringer. I 2018 ble det europeiske betalingstjenestedirektivet (Revised Payment Services Directive, PSD2), innført i EU og i Norge. Formålet med direktivet er blant annet å harmonisere regelverket i EU og legge til rette for økt konkurranse i markedet for betalingstjenester. Betalingstjenestedirektivet gir forbrukerne større eierskap over opplysningene som bankene har om dem. Nå kan forbrukeren samtykke til at virksomheter utenfor banksektoren kan få tilgang til kontoopplysningene deres. Med tilgang til disse opplysningene får virksomhetene muligheten til å bygge tjenester på toppen av bankenes data og infrastruktur.

Svarene viser:

• Fire av fem er negative til at andre aktører enn banken skal få tilgang til deres finansielle informasjon. Kun seks prosent er positive.
• Holdningene varierer etter respondentenes alder. Mens nesten 90 prosent av de over 60 år er negative til at nye aktører skal få tilgang til personlig finansiell informasjon, viser tallene at bare 64 prosent av de under 30 år er negative.
• Menn er mer positive til å dele finansielle opplysninger enn kvinner. Mens åtte prosent av menn er positive, gjelder dette bare tre prosent av kvinnene.

Undersøkelsen viser en utbredt skepsis til å dele finansielle opplysninger med andre virksomheter enn banken. Yngre personer er litt mindre negative til å åpne opp for andre aktører. Dette kan delvis forklares med at yngre forbrukere ofte har mindre lojalitet til tradisjonelle institusjoner som banker, og er mer vant til å ha tilgang til nye tjenester via smarttelefonen. For aldersgruppene som hele livet har forholdt seg til banken primært som en nettjeneste, vil trolig ikke spranget til en ekstern tjenesteleverandør være like stort som for aldersgruppene som har opplevd tiden da man fysisk troppet opp i banken for å betale regninger.

Google og Facebook i finansmarkedet

Med betalingstjenestedirektivet forsvinner altså bankenes monopol på kundenes kontoopplysninger, noe som åpner opp for at nye aktører fra inn- og utland kan konkurrere i et marked som tidligere var kontrollert av bankene.

Vi vil i tiden fremover trolig se flere applikasjoner og tjenester som tilbyr rask og enkel betaling, samt hjelper oss med å spare eller samordne gjelds- og kredittopplysninger. Norske banker har investert tungt i utvikling av slike tjenester, men vil nå møte tøff konkurranse fra andre aktører, inkludert de store internasjonale teknologiselskapene. Facebook, Google, Apple og Amazon tilbyr alle løsninger for rask og sømløs betaling. Disse selskapene omsetter for milliardbeløp hvert år og har i tillegg et enormt konkurransefortrinn i kraft av antall brukere. Som vi skrev om tidligere nyter imidlertid norske banker høy tillit i den norske befolkningen, noe Facebook og Google ikke gjør.

Vi spurte om hvor problematisk respondentene synes det er for personvernet å gi Google eller Facebook tilgang til våre finansielle opplysninger, hvis de kan tilby oss en nyttig banktjeneste.

Svarene viser:

• Et overveldende flertall synes det er problematisk at Google og Facebook skal ha tilgang til finansielle opplysninger.
• Omtrent like mange kvinner (87 prosent) som menn (83 prosent) mener at det er problematisk.
• Skepsisen går på tvers av aldersgrupper.

Et stort flertall mener altså at det er problematisk for personvernet å gi Google eller Facebook tilgang til sine finansielle opplysninger. Dette samsvarer med funnene i Datatilsynets rapport «Personvern 2017 – Persontilpassing og kunstig intelligens» hvor 79 prosent av respondentene svarte at de var negative til å benytte seg av en banktjeneste fra Google eller Facebook.

En nærliggende forklaring er at tradisjonelle banker over mange år har knyttet lojalitetsbånd til kundene sine, og at folk er fornøyde med tjenestene de tilbys. Som nevnt, har folk stor tillit til hvordan banker behandler personopplysninger, og svært liten tillit til teknologiselskaper som leverer søkemotorer og sosiale medier. Norske bankers høye tillit i befolkningen vil med andre ord være et stort konkurransefortrinn når Facebook og Google ruller ut sine løsninger. På den annen side har disse selskapene enorme fortrinn i kraft av økonomiske muskler, brukermasse og funksjonalitet.

Det vil derfor bli spennende å se hvordan dette markedet utvikler seg de neste årene. Banker og sosiale medier-selskap befinner seg i hver sin ende av tillitsskalaen, men vi vil se flere og flere nye selskap som vil forsøke å ta markedsandeler. Hvordan vil for eksempel nordmenn stille seg til en norskutviklet betalingstjeneste som kan friste med både ivaretakelse av personvernet og sømløs mobilbetaling?

I Norge gikk norske banker, anført av DNB, tidlig sammen om å utvikle betalingsløsningen Vipps, som i dag benyttes av om lag tre av fire nordmenn. Det gjenstår å se hvilke selskap og løsninger som er i stand til å utfordre denne markedsposisjonen. Kanskje vil vi se at flere utfordrere sikter seg inn mot rådgivningstjenester ved å samle informasjon om lån, gjeld og spareavtaler på tvers av ulike banker.

Lav interesse for banktjenester fra Google eller Facebook

De fleste er skeptiske til å la nye aktører få tilgang til finansielle opplysninger, men dette kan endre seg. Noen vil la seg overtale av en venn, andre vil vurdere fordelene ved de nye tjenestene som større enn ulempene.

Vi spurte derfor de som mener at det er problematisk å gi Google eller Facebook tilgang til deres finansielle opplysninger, om de likevel er interessert i å benytte seg av en nyttig banktjeneste fra disse selskapene.

Svarene viser:

• Av de som beskriver det som problematisk for personvernet å gi Google og Facebook tilgang til sine finansielle opplysninger, oppgir åtte av ti at de heller ikke ville tatt i bruk en slik tjeneste fra disse selskapene.
• Fire av fem i gruppen som mener at det er problematisk å gi finansielle opplysninger til Facebook og Google, ønsker ikke å ta i bruk en betalingstjeneste fra disse selskapene. Samtidig svarer seks prosent at de gjerne tar i bruk en slik tjeneste og 13 prosent unnlater å ta stilling.

Det kan tenkes at løsningene som norske banker allerede har utviklet er så gode at det ikke oppleves som nødvendig å gi Facebook og Google innpass i nok en del av våre liv. Ofte finnes det ikke reelle alternativer til kjernetjenestene som Facebook og Google tilbyr. Innenfor finanssektoren opplever sannsynligvis flere at de har et reelt valg. I tillegg tilbys hurtig mobilbetaling i dag av institusjoner vi har høy tillit til. Det store spørsmålet blir hvor mange som vil ta i bruk direktebetaling i meldingstråden på Messenger eller lignende hvis det gjør hverdagen enda litt enklere.

Tingenes internett og smarte hjem

Tingenes internett er et samlebegrep for nettverket av gjenstander som er utstyrt med elektronikk og sensorer som muliggjør internettilkobling og deling av data. Slik teknologi preger, og vil fortsette å prege, moderne samfunn på en lang rekke områder, inkludert transport, medisin og infrastruktur. For folk flest er tingenes internett som regel assosiert med forbrukerelektronikk og smarte hjem. Kjøleskap som sender en autogenerert handleliste basert på analyserer av innholdet, stemmeassistenter som sjekker været mens man kler på seg og stereoanlegg som spiller favorittlåten mens man lager middag, blir vanligere og vanligere. Utbredelsen av smarte ting til hjemmet forventes å øke i takt med utbredelsen av neste generasjons mobilnett, også kjent som 5G.

Fordelene med smarte produkter er mange. De kan gi mer tilrettelagte tjenester, og ha enorm betydning for energisparing og effektiv samfunnsplanlegging. I tillegg er potensialet stort for et mer tilrettelagt hjemmemiljø for eldre og syke. Flere internettilkoblede dingser fører like fullt til at virksomheter samler inn større mengder opplysninger om enkeltpersoners atferd i hjemmet.

Vi spurte om hvor trygge folk føler seg på at informasjon som samles inn ved hjelp av smart forbrukerteknologi (robotstøvsugere, smarte kjøleskap, målere for innendørsklima, strømmålere og lignende) behandles på en måte som ivaretar personvernet.

Svarene viser:

• 46 prosent føler seg, i forskjellig grad, utrygge på om teknologien samler inn og behandler informasjon på en måte som ivaretar personvernet.
• 24 prosent svarer at de føler seg litt eller helt trygge.
• Nesten én av fire har svart «verken eller», mens åtte prosent har svart at de ikke vet. Det kan antyde at mange fremdeles ikke er kjent med teknologien.
• Utryggheten man føler i møte med teknologien, øker litt med alderen. Av de over 60 år, svarer nesten halvparten (49 prosent) at de føler seg utrygge på teknologien, sammenlignet med 40 prosent av de under 30.
• Det er særlig de med høyere inntekt som svarer at de føler seg utrygge. Mens 33 prosent av de med inntekt under 400 000,- kroner svarer at de føler seg utrygge, svarer 53 prosent av de med inntekt over 600 000,- kroner at de føler seg utrygge.

Nesten halvparten av befolkningen føler seg altså utrygge på at informasjon som samles inn via tingenes internett blir behandlet og lagret på en måte som ivaretar personvernet. Dette samsvarer med en undersøkelse til rapporten «Personvern, tillit og følelser 2018», hvor vi spurte om folk er bekymret for informasjonssikkerheten og personvernet i smarte produkter. Nesten halvparten av respondentene svarte ja.

På grunn av utbyggingen av 5G-nettet står vi på terskelen av et potensielt stort taktskifte i tempoet og utbredelsen av denne typen teknologi. Flere og flere nybygg vil inkludere internettilkoblede dingser med sensorer som måler, registrerer og analyserer store datamengder, og forbrukerelektronikk med de samme egenskapene vil bli billigere og mer utbredt. Produkter koblet til tingenes internett muliggjør en lang rekke funksjonaliteter, men det finnes mange eksempler på at de ikke sikrer personopplysninger på en god måte.

Da Forbrukerrådet testet internettilkoblede leketøy for barn, avslørte de flere svakheter ved sikringen av personopplysninger. Hvem som helst kunne med enkle grep ta kontroll over lekene og avlytte det som ble sagt. Dukkene kunne også bli brukt til skjult markedsføring, ved at de inneholdt forhåndsprogrammerte fraser hvor utvalgte varer og tjenester ble positivt omtalt. På lignende vis har Google, Amazon og Apple latt analytikere boltre seg i stemmeopptak fra privathjem. Amazon-eide Ring, som tilbyr internettilkoblede kameraer som skal installeres ved inngangsdøren, ble også avslørt i å sende personopplysninger, som navn, IP-adresser, teleoperatør, og sensordata, videre til tredjeparter.