Jag vet att många i företagsledningar och på marknadsavdelningar suckar tungt när de hör orden ”personlig integritet”. Jobbigt, tråkigt – och ett hot mot lönsamheten. Är det så? Och i så fall – måste det vara så?
Nej! Visserligen finns det en inbyggd motsättning mellan företags intresse av att kartlägga sina kunder och kundernas vilja att ha sitt privatliv ifred. Och visst väljer en del företag att strikt prioritera sin kortsiktiga lönsamhet och köra på som en bulldozer när det gäller kundkartläggning, men det har två nackdelar. Dels den etiska. Men för dem som inte bryr sig om etik finns också en ekonomisk: Risken för en backlash från kunder som med tiden får nog av snokande leverantörer.
Det kanske finns en möjlighet att tänja företagens och kundernas intressen i båda ändar så att öst och väst faktiskt kan mötas. En tänkare som ligger långt framme på det området är den amerikanska IT-gurun Esther Dyson. Så här säger hon om saken:
”Lösningen är inte att hindra utvecklingen, att eliminera insamling och användning av data, eller missa alla effektivitets- och bekvämlighetsvinster som den nya tekniken ger. Lösningen är att lägga kontrollen av personuppgifterna där den hör hemma – i händerna på de människor som skapar dem”.
Detta är mycket kloka ord, och jag tror att ”Dysons princip” kan vara den bästa vägen framåt i ett IT-samhälle präglat av motstående intressen. Vad innebär då Dysons princip i praktiken för företagen? Här är en sammanfattad version av min egen tolkning av innebörden:
– Ge kunderna chansen att ställa sig utanför denna informationsinsamlineng. Detta kan göras i form av opt-in (data samlas bara in från de kunder som aktivt anmält att det är i sin ordning) eller opt-out (data samlas in med automatik, med undantag för de kunder som anmält att de vill stå utanför). Opt-in är mer kundvänligt än opt-out. Om opt-out ändå tillämpas ska det vara mycket enkelt att avanmäla sig.
– Samla inte in mer information än nödvändigt. Erfarenhet från kundlojalitetsprogram visar att ett företag kommer mycket långt med bara tre variabler: ”frequency” (hur ofta köper kunden), ”recency” (hur nyligen köpte hon senast) och ”money” (hur mycket köper hon för).
– Tala om vilken information ni avser samla in och hur den ska användas, nu och i framtiden. Särskilt viktigt är det att vara tydlig med eventuell överföring av information till tredje part.
– Tillämpa öppenhet. Gör inget i smyg, exempelvis genom att dölja det känsliga i finstilta formuleringar som få läser.
– Börja aldrig använda insamlade uppgifter för andra syften än de samlades in utan att först inhämta kundernas godkännande.
– Ge kunderna möjlighet att se vilken information företaget har om dem, och gör det möjligt att på ett enkelt sätt få eventuella korrigeringar gjorda.
– Gör det möjligt för kunder som ändrat sig att bli strukna ur systemet och få sina data permanent raderade.
– Se till att även kunderna vinner något på att information samlas in om dem.
– Säkra lagrad information med en hög skyddsnivå.
– Utbilda personalen i integritetsfrågor.
– Genomför interna integritetsrevisioner, kanske varje eller vartannat år.
– Se till att det finns rutiner och resurser för att vidta de åtgärder som revisionerna eventuellt visar är nödvändiga.
– Inför gärna en ”etisk balansräkning” som inkluderar integritetsområdet – det vill säga, ange årligen hur väl företaget ligger till vad gäller omsorg om kundernas personliga integritet (ungefär så som en del framsynta företag har börjat redovisa sitt ”intellektuella kapital” i balansräkningen).
Integritetsrevisioner är en intressant företeelse, som blivit relativt vanlig i USA (”privacy audit”). Vid en sådan kontrollerar en betrodd extern part att företaget eller organisationen hanterar personuppgifter på ett adekvat sätt. Avstämning sker därvid mot företagets integritetspolicy, gällande lagar, eventuella branschöverenskommelser, god sed och åtaganden gentemot eventuella sigillprogram som företaget deltar i. Integritetsrevisioner genomförs antingen av traditionella revisionsbyråer med specialkompetens i integritetsfrågor eller av företag med särskild inriktning på integritetsrevisioner.
Ett av de företag som ligger långt framme med att utföra integritetsrevisioner är PriceWaterhouseCoopers. De tillämpar, i stark sammanfattning, denna checklista när revisioner genomförs:
1. Integritetspolicy. Uppfyller integritetspolicyn lagar, branschöverenskommelser och god sed?
2. Datainsamling. Vilka slags data samlas in, var/hur sker det, är det obligatoriskt eller frivilligt för kunderna, informeras kunderna om insamlingen?
3. Valmekanismer. Opt-in eller opt-out, överensstämmelse med policy, loggar med opt-out/opt-in-information, kopiering och rensning.
4. Överföring till tredje part. Avtalsmässiga restriktioner, procedurer för ”due diligence” (genomlysning), kontroll och styrning.
5. Tillgång för kunderna. Hur får kunderna tillgång till informationen? Finns rutiner för att rätta felaktigheter? Hur uppfylls begäran om tillgång och rättelse?
6. Förfrågningar. Rutiner för att ta emot och besvara integritetsrelaterade frågor.
7. Säkerhet. Kontroll vid accesspunkter, fysisk säkerhet. Säkerställa att kundbaserad information skyddas mot intern och extern icke-auktoriserad tillgång.
8. Personalens tillgång. Rutiner för den egna personalens tillgång till informationen, hantering av lösenord, omständigheter för tillgång till databasen, definiera nya användare/ta bort gamla.
9. Upprätthållande. Rutiner för att säkerställa att rutiner och regler följs.
10. Utbildning. Innehåll och kvalitet i personalutbildning, mekanismer för uppföljning.
11. Webbplatskontroll. Hur regelbunden och robust är kontrollen av webbplatsen ur integritetssynpunkt (cookies, web bugs, formulär för datainsamling, avslöjanden, osv)? (Observera att integritetsfrågan inte är begränsad till webbplatsen)
12. Spara data. Hur adekvata är policies och rutiner avseende lagring av information i relation till interna krav och krav från lagar, branschöverenskommelser och god sed?
Jag är övertygad om att den långsiktigt bästa vägen för företag att gå är att respektera sina kunder inklusive deras personliga integritet, istället för att köra bulldozer. I min bok ”Övervakad” (Liber) skriver jag mer om företagens förhållningssätt till sina kunders personliga integritet.
Pär Ström, Författare och föreläsare
Integritetsombudsman vid Den Nya Välfärden
Ledamot av regeringens IT-råd