Er GDPR et «helvete»?

Hei og velkommen til Skifters podcast. I dag skal vi ha en ganske aktuell episode om Facebook og data. Og med oss i studio har vi Torgeir Waterhouse fra IKT Norge. Velkommen, Torgeir. Hei, og takk, ikke minst. Vær så god. Og så har vi med oss Salvador Baie, som er relativt vanlig, fra Intelis. Hei, Salvador. Hei, Lukas. Og du er en rådgiver som rådgiver inn teknologiredelse og innovasjon. Det har du lært etter hvert. Ja, etter hvert. Før vi setter i gang, så må jeg bare informere om at vi har noen spennende stillingsannonser på skifter. Blant annet så er det Accenture som søker en data scientist. Så hvis du har lyst til å jobbe hands-on med store datasett fra den virkelige verden for å generere innsikt, samt løse en rekke komplekse problemer for Nordens største selskaper, ja, da burde du sjekke ut stillingen som data scientist i Accenture på skifter. Og en liten annen ting i samme gate er at vi hadde blant annet en annonse for Beck for ikke så lenge siden, og der var det en av våre lyttere som fikk jobben. Jens Andreas Huseby, gratulerer med jobb i Beck. Og Skifter, gratulerer med å ha skaffet noen en jobb i Beck. Så skal vi videre til Spaces, som er stedet vi sitter akkurat nå, og vi må takke dem for at vi kan sitte her og spille denne episoden. Hvis du enda ikke har vært på Spaces, så kom innom raskt, for nå er det nesten fullt. Og hvis du vil ha et kontorfellesskap, pult eller et kontor, så ta kontakt med Sille Sundt i Spaces. Da er vi ferdig med dette, og skal over til det vi egentlig skal snakke om, og det er Facebook og data. Det ble jo nylig kjent at data fra så mange som 87 millioner mennesker ble hentet fra Facebook via Cambridge Analytica. Det var faktisk en professor fra Cambridge Analytica. University? University. Som faktisk tok kontakt med Facebook og spurte om han kunne samle noen data for å gjøre en sånn personlighetstester. og folk ga disse data til ham, og så på en eller annen vis, vi vet ikke helt hvordan, om det ble solgt eller ikke solgt, så sendte han videre disse datene til Cambridge Analytica, som er et selskap som er spesialisert på å analysere data og hjelpe for eksempel i hvem som skal vinne et valg. Det er veldig spesialisert på det her. Og antagelig er det veldig mulig at de hadde hjulpet Donald Trump med å vinne valget takket være i data. Og ikke bare de datene, men at det var på den tiden de skaffet seg de datene, altså han professoren gjorde det på, så var det mulig å også bruke datene, ta tak i de datene, av de vennene du hadde på Facebook, relatert til de som hadde svart ja på å være med på den undersøkelsen. Og da plutselig så fikk han tilgang til 87 millioner mennesker. Er det en korrekt beskrivelse, Torger? Ja, den er det. Og kjernen her er jo at det er mange ting som har gått galt samtidig. Det ene er jo at kanskje viktigste egentlig er at de dataene har vært sammenlegnet for et formål, forskning, og så har de brukt det til noe annet. Og så har jo Facebook selv, uavhengig av denne prosessen, egentlig gått inn etterpå og hindret eller stoppet de mulighetene for å sanke data om meg via deg. Sånn at skal noen ha data fra meg nå, så må de rette på meg. Skal de ha data fra deg, så må de gå rett til deg. Og det er helt fint. Og så får vi nå en diskusjon fremover også om hvor mye data, på hvilket måte og så videre. Det som er interessant å se på her også da, i den vurderingen av hva har de dataene blitt brukt til, og har han eller fyren blitt valgt eller ikke blitt valgt på noe av dette, det er jo også hva er kvaliteten på dette. Og du kan jo ta en, om det ikke er eksakt lik, i hvert fall den testen som dette her har vært basert på, kan du fremdeles ta via Cambridge University, og søker du opp ApplyMagicSource, og så kan du teste å koble til enten Twitter eller Facebook, eller begge deler, så får du en analyse av deg selv. Jeg testet det siste, enten tidligere i uka eller slutten av forrige uke, og ved å kjøre via Twitter-profilen min, så ble jeg en dame på 30 år. Så det er ikke helt sikkert at det alltid treffer så godt som man tror, men samtidig skal vi heller ikke undervurdere hvor mye bedre enn alternativen det kan være, eller at det kan ha en viseffekt. Så det er avhengig av hvordan du jobber med det også. Ja, for det er litt sånn ankepunkt til dette her. Fordi man snakker om dette som om dette er... Facebook vet alt om deg, ikke sant? Og vet nøyaktig hvem du er. Og det blir fremstilt veldig, veldig store bokstaver. Men overvurderer vi da... makten i de datene? Er det ikke Cambridge Analytica interesse å få har ikke de blåst opp litt i forkant? Selvfølgelig det er det som Tordreier sier de datene man samler og hva man gjør vi er fortsatt i en læringskurve Altså ja, Facebook vet mye om deg, og de prøver å målrette reklame så godt de kan. Men når du ser de reklamene som du blir eksponert for, så skjønner du at ikke alt egentlig er så eksakt som det skal være. Og vi snakket om det også sist, vi hadde en podcast om dette temaet, da dette eksponerte. er at dette med user-generated content har også et problem. Altså det er annonsørene vet at noen ganger blir deres produkter brukt på en måte de ikke skal brukes av selve brukerne, og deres brand blir kompromittert. Og jeg synes at ja, men det som er interessant her er hva som the future will bring. Og selvfølgelig kommer det til å bli bedre og bedre og bedre, rett og slett på grunn av prosesseringskraft som vi har i de datamaskiner og de brikkene vi har i dag. Og selv om det ikke er sånn i dag, så kan Facebook vite mye mer om deg, og ikke minst, din profil og å predikere hvordan du kommer til å handle. Og det er det som jeg synes kan være litt skummelt for deg i Minority Report-verden. Så vi er ikke der i dag at man vet Altså så mye som man tror man vet om deg, men at det er mer enn et preemptive strike, man kan kalle det, med tanke på fremtiden. Er det slik å forstå? Ja, og jeg tror det er selvfølgelig veldig sammensatt. Man vet jo masse, og tilsammen så finnes det masse data, og en ting er de datene som noen har lov til å bruke. Men det er også noe av frykten her ligger selvfølgelig i alle de dataene som eksisterer og hva de setter sammen på en måte som vi ikke har godkjent eller samtykket til, eller som ikke er lov i det helt tatt. Hva kan man finne ut av? Det er det ene aspektet, og som Sala sier, vi er jo midt i en lærings- eller kanskje tidlig i en læringsfase her på hvordan vi kan bruke data, hvordan vi kan forstå dem. Så er det også sånn at i dette så ligger det også at den saken som pågår nå, og det er jo en kombinasjon av skrekkfilm og verdens dårligste reality show og humor på høyt nivå, og innimellom litt alvor og gode treffende samtaler som foregår i to høringene i USA nå, hvor det er en ung gründer og noen gamle politikere som sitter sammen og snakker om et vanskelig tema. Og det er klart det at det det viktigste i dette, og ikke minst det viktigste i debattene som kommer etterpå, om du er politiker, om du er, om du jobber i et selskap som skal bruke data, om du har et samtykke at noen kan få se datene dine, hva det måtte være, det er jo å se, ok, men hvordan skal vi håndtere ansvarsdelingen? Hvem skal ha ansvaret for hva? Hva skal plattformleverandørene, alle av Facebook og så videre gjøre? De som bruker deres datagrunnlag og deres tjenester for å ha kontakt med mennesker og bedrifter og hvem det måtte være, hva skal de gjøre? Og for den del tingene våre, som også kommer inn på samme plattformene, Og hva skal lovgiver gjøre, og hva skal vi gjøre som enkeltindivider? Og uansett oppi dette, uansett hvor mye moralisme det kommer fra journalister og redaktører som lever av data på samme måte selv, og later som ikke de vet det, uansett hva lovgiver gjør, uansett hva Facebook gjør, uansett hva dere skifter gjør, og hvilke råd Salvador Ineseng er på å hyre inn av noen, uansett hva vi alle sammen gjør i alt dette, så vil vi fremdeles være der at vi er avhengig av at vi kan stole på hverandre. Vi er avhengig av at når jeg trykker samtykke til noe, så kan jeg ikke gjøre noe mer enn å stole på at den som får tillegg faktisk ikke bruker noe annet. Det Cambridge Analytica-saken viser, som kanskje er det mest interessante i den, er nettopp det. Dette er Facebook helt rett, og de skal håndøre for at de står på det og holder fast på det. Cambridge Analytica hacket ingenting. De fikk ikke tilgang til data de ikke hadde fått avtalt å få tilgang til. Men det de gjorde som var galt, det var at de brukte dataen til noe annet enn de hadde fått lov til. Og for Facebooks del, som de også sier tydelig, det de gjorde galt var å vurdere feil. De burde ha vurdert annerledes på hva de ga tilgang til, og det har de i ettertid begynt å gjøre. Og etter at det har kommet frem gang på at Cambridge har gjort ting de ikke skulle, så har de strammet inn mer og mer og mer. Så det er viktig å ha med seg dette. Og så må man huske at Facebook hadde rutiner for å følge opp det, og de faktisk tok kontakt med Cambridge Analytica og sa at dere må slette de datene, men Cambridge Analytica gjorde ikke det. De sa de hadde gjort det? De sa de gjorde det. Det var rett og slett bedrag på en måte. De sa at vi kommer til å bruke disse datene på noe, de gjorde det på noe annet, og i tillegg når de ble bedt av Facebook om at de datene skulle bli slettet, så sa de ja, vi har gjort det, og de gjorde det ikke det. Det er det som trust, ikke sant? Da var det en breach. Men det var ikke data breach, det var at noen rett og slett gjorde det i en kommersiell transaksjon, og de brød en kontrakt. Og da er det en veldig interessant link til GDPR, fordi at etter GDPR så har vi brød the right to be forgotten, som det så fint heter. Det vil si at vi kan forlange at data blir slettet. Altså jeg som leser av skifter, jeg kan ta kontakt med dere, så kan jeg si at dere skal slette de dataen dere har i deres system, som identifiserer meg. Men hvordan vet, altså det er en diskusjon du tar med en kollega, en eks-kollega fra VG, hvor de jobber jo knallhardt nå. Dette er GDPR-helvete. Altså GDPR, for meg så er det et helvete som bedriftsveier, og så er det veldig bra for meg som individ Det er bare sånn her, ja, uansett da. Det er det som er meningen. Men jeg lurte på den der, hvor langt, altså, Kan man gå da? Vi kan jo ikke identifisere deg som bruker. Her er jo noe av problemet med fasen vi er i nå. Og jeg skal ta en liten sånn runde rundt det med Cambridge og linkene til GDPR, og så skal jeg svare på spørsmålet ditt. Fordi problemet, og det kommer vi til å ha i GDPR også, GDPR sier i krav om at hvis du sletter datamessig, så skal du dokumentere det. så skal jeg kunne se dokumentasjonen. Og det er jo det som er problemet her. Jeg vet jo fremdeles ikke noe annet enn at du har dokumentert at du har slettet. Så tillitselementet må ligge deg helt inn, det er vi helt avhengig av. Så til dette som går på hvor langt skal vi gå i og så videre, poenget her er at her er jo GDPR skrevet ganske greit. Det er selvfølgelig som med alle andre regulering, masse man kan pirke i, men det handler om for det første data jeg har vært med å skape. Det handler om data som ikke er regulert på annen måte. Det kan hende at jeg har inngått en avtale som betalen abonnent for eksempel på en tjeneste, hvor det er en regnskapsmessig transaksjon, og de dataene skal tas vare på i ti år etter regnskapsloven. GDP tromfer ikke regnskapsloven, og så videre. Så det er ganske viktig å se på hva slags data det er snakket om. Jeg kan det med å få slett av. Og så er det igjen det at disse dataene må være såpass greie å identifisere at det ikke er, nå skal vi bare litt sånn vage her, litt som GDPR-er i virkeligheten her, altså uten at det er alt for mye hassel, uten alt for stor byrde for deg. Så det er noen checks and balances i systemet her, Og for å være kjip med deg nå, Ruka, som synes at dette er et helvete, det er jo egentlig min erfaring, og så langt også er det mye erfaring som gjenstår å gjøre, så hun går til nede og sitter her om tre måneder og sier at fy faen så dum jeg var. Men min erfaring til nå i hvert fall er at de som synes dette er veldig vanskelig, det er de som enten har full krise på alt de har gjort med databehandling frem til nå, og virkelig har fucka opp, gravd seg selv ned i det dypeste uret som finnes i Norge, eller som egentlig ikke har begynt å sette seg inn i det. For nå er det en tidlig fase på alt, du aner ikke hva dette betyr, og hvor alle tangentene går, og hva det måtte være. Sånn at hvis du kan svare på noen enkle spørsmål, hvilke data har du, om hvem, hvor du har de, hvem som har tilgang, hvorfor du har de, hva du skal bruke det til, hvor lenge du har hatt de, osv., kan du svare på de spørsmålene som du antagelig kan, så har du kommet ganske langt i å ha den oversikten du trenger for å kunne håndtere disse GDPR-kravene. Problemet er jo at det jeg er redd for er at folk begynner å stille spørsmål hele tiden. Det skalerer jo ikke at jeg må gå inn i systemet og sjekke for hver enkelt. Det betyr at vi må investere i et eller annet som gjør at man kan sjekke dette selv. Jeg skal spørre deg hver dag helt utenfor. Ja, men det er det som irriterer. Jeg må bruke tid på noe som ikke bygger businessen min. Ja, men det gjør det. Her må du vri. Det er veldig viktig. Å lykkes med GDPR er et premiss for å lykkes med businessen din. Hvorfor det? For det handler om tilliten mellom deg og brukerne dine, de som du har data om, de dataene du delvis tjener penger på, og det handler om at du har kontroll, den kontrollen du trenger å ha. Det gir deg bedre oversikt, det gir deg bedre anledning til å vite hva du har og hva du ikke har, og hva du får utbytt av og ikke har. Kanskje du underveis i din egen GDPR-prosess, jeg bruker masse tid og ressurser på forvaltningsdata, men jeg har ikke brukt det i det hele tatt. Kan bare hive de ut, slutt å ha de. Og det tvinger deg også til å gjøre andre vurderinger, hvilke leverandører og tjenester du bruker for å bygge din business. som du igjen kan stole på. Så i overgangsfasen, ja, det kan være mye å gjøre, det kan være vanskelig, ikke minst uoversiktlig, og så er det vanskelig å se gjennom skogen av alle disse advokatene som kommer og later som du trenger å betale dem masse, masse, masse penger. Dette her er en sånn payday bonanza-dimensjoner, med både konsulenter og advokater som kommer til å overselle. De må vi kollektivt klare å dytte ut i grøftekanten og si at nei, det løper vi ikke veien på. Vi håndterer det via de som faktisk er i stand til og vil være drulige rundt dette. Hvem er det? Er det IKTN Rødgrød? Selvfølgelig ikke oppnå det. Er det noen du kan ståle på, Sædras? Vi leverer jo ikke tjenester på dette, så vi gjør jo ikke dette. Vi jobber politisk med det, selvfølgelig. Men det handler om å se på hva det er vi egentlig trenger her. Akkurat nå, siste jeg så av noen som var ute og mente om GDPR, det var en gjenvinningssentral av et eller annet slag. Nå skal alle på et eller annet vis prøve å lage en kobling mellom seg selv og GDPR, og så skal de da ut og vinne et marked og hente en masse gratis penger. Ja, skjønner. Jeg har faktisk en annen vinkling som er positiv for de selskapene som implementerer GDPR. Det har vært et problem for mange bransjer, mange selskaper. Telekom kommer med en gang som en tanke. De har blitt mye bedre på det, by the way. Men det er mange selskaper der ute som har hatt mye data. De visste ikke hvor de datene var. De var under en sofa og i en server, og de visste ikke helt hvor de var. Og det var noen skjulteskatter som de kunne ha gjort mye med for å bli mer relevante for sine kunder. Med konsens, selvfølgelig. Eller avtale. Det er masse grunnlag. Det som GDPR gir er mulighet til å nå let's get that shit straight. Hva er det vi har? Hva er det vi kan bruke? Hvordan kan vi tjene penger på dette her? Hvordan kan vi lage bedre produkter og tjenester? Og det der er ekstremt positivt. Det som jeg kanskje kan tenke meg, som er litt sånn hardcore markedsliberalist, er at GDPR er en regulation. Det er bylaw, du må gjøre det. Og jeg synes at det kanskje kunne vært mer effektivt frivillig sertifisering. For å skaffe seg den konkurransefortrynet som du kan ha overfor andre konkurrenter. Vi vet hva vi gjør med våre data, og vi prøver å gjøre det beste ut av det, og gi deg de beste tjenene. Mer enn gullrot. Men når du ser på GDPR, det som jeg synes er veldig fint, er at du leser GDPR, det er en ganske grei oppskrift altså. Og jeg er enig med Tore når jeg sier at da er du i dyp krise når du virkelig begynner å stille sånne spørsmål, Lukas, fordi det er en ganske grei oppstift om hva du egentlig skal gjøre. Men la nå, dere elsker jo Gide Bærer tydeligvis, og det er bra. Ja, GDPR loves to. Nei, jeg har Jeg har noen innvendinger rundt det. Jeg tror, eller jeg synes at, du vet det også, at jeg synes at GDPR kommer kanskje litt for sent, og ikke har tilpasset en del teknologier som er emerging Og som politikerne for fire år siden, de startet å jobbe med det for fire år siden kanskje? Jo. Her må vi faktisk ta noen steg tilbake, for nå driver du og bygger opp til blockchain, ikke sant? Ja, til blockchain og til maskinlæring og til en del ting. Og det er klart at det som er interessant her er jo nettopp at noe av det vi kommer til å få i forlengelsen, er jo også en del solide, grunnlige diskusjoner rundt nettopp hvor går grensegangen mellom Skal teknologien eller lovgivningen tilpasse seg hvem og så videre? Og hvis du ser på veldig mange av de som løper rundt og promoterer blockchain som det fantastiske virkemidlet som skal gjøre at nå er det endelig slutt på at myndighetene kan se hvem du bytter penger med. De har jo ikke skjønt noen ting av samfunnsstrukturerne. Og man kommer aldri til å tillate teknologier som man ikke kan få innsyn i. I dag får myndighetene hver transaksjon over 5000 kroner. Og det er klart at mye av fundamentet for vårt samfunn er nettopp transparans på transaksjoner. Og hvis målet med å ta i bruk ny teknologi er å unngå det, da kan du likevel la være for at det er ikke noe vits i. Og hele poenget med GDPR, og du får egentlig det du etterspør også, det er jo nettopp det at det er veldig, veldig mye som overlates av aktørene å gjøre ting forskjellig og konkurrere på det og være tydelig på hva de gjør. Bottom line i GDPR er jo at du må passe på at du har lov til å ha dataen du bruker ditt nå. Det skal være transparant hva du gjør, og det skal være balansert det du gjør. rettigheter skal balanseres her. Det er ikke spesielt urimelig. Det er jo en sånn. Men det vanskelige her er at det har vært så mange systemer som er i bruk, det er så mange forretningsmodeller som er bygd opp, det er så mye ubevissthet på disse problemstillingene at veldig mange vet ikke hvilke data de har om kundene sine og brukerne sine. Og derfor blir skiftet så stort, derfor oppleves det så massivt. Men når vi kommer i gang ... og ser på hva ligger egentlig i dette, så er det jo i hovedsak greit. Og så er det selvfølgelig en del ting som er vanskelig. Det med for eksempel the right to portability, at jeg kan ta med dataene mine for å laste dem. Ja, det blir veldig watered down altså. Jo, det har det gjort. Men likevel, dette handler om at her, det man kanskje kan kritisere myndighetene mest for her, er jo å blande sammen regelverk som egentlig er informasjonssikkerhet og handler om å beskytte dataet, med personvern regelverk som handler om hvem skal bestemme over dataen av meg og min dataintegriteten min og så videre, og forbrukerettigheter som right to portability jo er. Så det er en sånn samrøre her som kan komplisere en del ting, men i bunn og grunn, hvis man ser på, alle som ikke har lest GDPR, les artikkel 5. Det er lite tekst, kanskje cirka en av fire sider og mye luft. og da får du grovt sett med deg essensen i hvor EU vil møte. Og i motsetning til, altså, jeg synes det er bra til en regulering, fordi det er med på å gi mye større grad av likhet innenfor hele Europa og hele EU-EUS-området, Det er litt mye nasjonale unntak, så i worst case kan det bli ganske forskjellig. Men essensen til dette er å gå i gang med det, begynne å se på det, tenke over hva det betyr, bruke det som anledning til å rydde opp egne systemer, hive ut leverandører og systemer du ikke trenger eller ikke burde ha, som ikke er gode nok likevel. Pass på at alle organisasjoner vet hva det handler om. Forstå at det handler egentlig bare om at du skal ha lov til å bruke data du bruker. Og har du lov til å bruke det, så har du et stort handlingsrom. For å koble GDPR tilbake til det vi startet med, Facebook. Hvis man hadde hatt GDPR i USA, hadde vi hatt et problem med Facebook da? Nei, det tror jeg ikke det hadde skjedd. Jeg tror ikke det hadde skjedd. Jeg tror ikke det har skjedd. Hvorfor er det her? Jeg har en argumentasjon. Det har jeg også. Du kan ta med deg diskusjonen. Jeg har reflektert over det da. Det ene er at hvis det er bedrag, så er det bedrag. Det er som hacking. Er det hacking, så er det hacking. Men det hadde vært, altså, i følge GDPR så skulle Facebook i så fall, de skulle ha vært mye bedre utrustet til folk til, ok, hva gjør vi nå? For det virket som Mark Zuckerberg ikke visste helt hva han skulle gjøre. Egentlig, han skjulte seg under en, gjemte seg under en stol en liten stund. Så det er mye som, de hadde hatt noen tiltak allerede klare. Og det andre er at de skulle ha egentlig hatt en mye bedre gjennomgang av denne nye prosessoren, altså Cambridge Analytica eller Cambridge University og de intensjonene som de hadde. Så kanskje hadde det skjedd, men det hadde vært vanskeligere. Det hadde vært ikke så enkelt for Cambridge Analytica å få tak i disse datene uten konsent, egentlig. Jeg tror det som har vært den viktigste forskjellen er at antakelig så ville Facebook På det tidspunktet Cambridge Analytica gjorde dette, eller Cambridge Anal, som jeg begynte å kalle det, de ville ikke kunne få tilgang til venners venner, og så videre. Så det er det ene som er forskjellig. Men det som er kjerneproblemet i det Cambridge har drevet med, at de har valgt å ikke følge den avtalen som er inngått, Det kan ikke GDPR forhindre, så kan vi godt diskutere om bøtenivået ble gjort at de ikke hadde tatt tur til å ta sjansen. At de gjorde en kalkulert risiko nå, så at sjansen for å bli tatt er så liten, konsekvensen er antakelig ingenting hvis vi blir tatt, og så videre. La oss bare gjøre det. Det kan ha vært annerledes. Klima blir jo etter en debatt, så blir jo klima annerledes. Og da skapes det en ny terskel for hva som er akseptabelt i opinionen, da. Sånn sett så ville det nok antageligvis ikke vært like, det er lettere å komme unna med det når folk ikke helt vet hva det er. Noe av det interessante i disse senatshøringene i USA har jo vært når de har tilløpt å spørre om hva slags regulering trenger vi å ha. Nå var jo han innom på flere vis at kanskje vi kan få noe a la GDPR i USA. Det tror jeg hadde vært bra. Jeg tror det er bra og viktig. Det er mange som har spurt, skal man ikke forbruke data og dette ferdig vanskelig personverden og forretningsmodellen min og sånn. Så jeg tenker at hvis det er sånn at du virkelig for fullt alvor mener du skal leve av å prosessere andre menneskers data, da bør du jo være opptatt av at det gjøres på en sånn måte, at det er en bærekraftig modell på sikt. Jeg tror mange her må velge litt. Har de tenkt å være den bonden som de varetar åkeren sin, sånn at generasjon etter generasjon kan fortsette å dyrke på den åkeren? Eller skal det være de som gjør sånn virkelig utbytte jord av maks, casher inn på noen få år nå og prøver å drikke champagne resten av livet? Og det er det her det egentlig handler om. Og tilbake til ditt poeng om markedsliberalismen i sted også, at selv de mest ekstreme, virkelig sånne der hardcore markedsliberalistene, er jo enige i stort sett alle sammen i at skal markedet fungere, så må du kompensere for skjevigheter og maktugjøvnheter. Det er markedfeil. og hva det måtte være, ikke sant? GDPR er jo delvis også det, fordi at ingen av oss som sitter i rommet her er i stand til å gjøre alle de vurderingene og fighte hver av oss opp mot enten om det er en liten aktør eller en stor aktør. Selv Skifter, som er en liten ny bedrift, har jo mer ressurser til å fighte i det daglige, til å håndtere en konflikt oss imellom om dataen min og meg, enn jeg har når jeg går på jobb og skal hente på skolen og lage mat til ungene og alle de tingene. Da handler det bare om å skifte, og så prøve å finne den rette balansen av kontroll og makt mellom individene data handler om, og de som skal gjøre penger på med dette, for det skal være fullt lovlig, og behandle dataene. Og så er det en annen viktig ting her. GDPR og kommende e-prize regulation og alle disse reguleringene, det er jo også virkemidler for å prøve å finne gode måter å lande på når du kommer til å betale med det som ikke er penger. Å betale med data, betale med tid, betale med oppmerksomhet og så videre. Og så er det en ting til som er viktig her, og det er at Tilbake til den NDA-analogien. De fleste tror at når du har en NDA med en motpart, at det er for å beskytte den som åpner sin informasjon for den andre parten. Men egentlig er NDA like så viktig for den som tar imot De dataene, for de vil være helt sikre på hvilke data jeg kan ta tak i, hva kan jeg gjøre med den, for ellers så kommer det lawsuits, og plutselig kommer det en her med advokater mot deg, som har prosessert informasjon på en måte du ikke skulle ha gjort. Og det er det som jeg synes at GDPR også er bra. Det setter en ramme, slik at hvis du, Lukas, og skifter, gjør det riktige med å ifølge loven, det kommer vi til å gjøre. Hvis du gjør det riktig, så minimiserer du veldig mulighetene for at noen kommer i etterkant og sier «hva er det du har gjort med datene mine? Nå blir det samt mål». Det er en positiv tanke. Jeg tenker på disse såkalt kidsa våre, eller millennial-generasjonen og de yngre. De har jo litt sånn Jeg vet ikke, men jeg har inntrykk av at de har et annet forhold til data, og det å være åpen og personlig på nett, det er ikke så farlig. Mitt inntrykk er at de ikke bryr seg i det hele tatt. Ja, men det var inntrykk, jeg vet ikke. Du jobber kanskje litt mer i lærkidsakode, og du er litt mer i miljøene. Ja, og det finnes tall også, uten at jeg husker så mye av de i hodet, men... Du finner flere ting. Det er litt det samme som med, jeg er veldig glad i en av disse beskrivelsene som Døglesæten, som selvfølgelig har satt veldig på spissen og er litt sånn humoristisk og veldig lite faglig og sånn, men han sier jo at det som finnes der når du blir født, det er naturlig. teknologier som kommer når du er 15 og 35, det er sånn det skal du leve av, og det er superkult, ikke sant? Det er ikke måte på hvor alt det kule som kan skje med det, men det er teknologier som kommer etter at du har blitt 35, og det er unaturlig. Sånn skal det ikke være. Og det vi litt ser nå er jo nettopp at mange av de modellene med plattformer hvor vi publiserer informasjon om oss selv, hvor vi snakker sammen med kontakter og så videre, det er jo det som har kommet for noen som, altså det har vært det når mange har blitt født, ikke sant? Det er like naturlig som dørhåndtaket der borte er for oss. for mange av de yngste. Og så er vi i denne mellomfasen, og så handler dette veldig mye om læring. Og det du nok vil finne med de yngste, det er jo at du har kombinasjoner. Delvis så er det komfortabelt med å dele data og hva det måtte være på forskjellig vis i tjenestene, og delvis har de en helt annen og mye mer restriktiv tilnærming til det enn veldig mange som er selvfølgelig eldre enn de. Vi er jo helt i grenselandet mellom de unge og de gamle. I hvert fall så tror vi det. Vi er mye eldre enn vi tror, men det kan vi snakke om en annen gang. Nei, det ser jeg ikke. Og så er samtidig alle aktørene også i konstant utvikling her. og prøver å finne ut, og prøver å lære, og hvis du ser på, du kan ta et årsstempel, velg den dato, og så ser du på de 10-15 mest brukte tjenestene hvert år, samme datoen hvert år, bakover helt til de ble startet, så kan du se hvor mye endring som har vært på mange områder. og som vi akkurat var inne om, Facebook selv, som har strammet inn på hvordan data som er tilgjengelig for hvem, på hvilke måter, kontinuerlig. De åpner og lukker tester her, tester der, og så videre. Så dette er i konstant endring, og hvis det er sånn at data er så verdifullt, som jo mange av oss mener det er, og noen mener sikkert enda mer verdifullt enn vi mener det er, så er det noe av det viktige å passe på at den kilden faktisk fortsetter å være der. Og det som er unikt med data, det er at tilgangen er der bare så lenge vi er villige til å fortsette å gi tilgang. Og hvis man svekker, og det er det som gjør at det er så mye alvorlig den Facebook-Cambridge-saken nå, er nettopp det at hvis tilliten ryker, så stopper datatilgangen. Og hvis den stopper, så forsvinner modellene. Er du sikker på det, tror du? Nå skal jeg utfordre deg litt. Men den tanken jeg har, fordi... Jeg har snakket noen ganger om disse gigantene. De er ikke konkurrenter, de er the environment. Det er en fin tanke, men hvor mange har egentlig slettet sin Facebook-konto? Det er en veldig fin råk. Det er liksom en reda av liste av tilliten, så det var bare grunn til å gjøre det. Men poenget er at... Du sier at det stopper tilgang til data. Jeg tror at folk er så avhengige av disse utrolige... Disse tjenester synes de at de er så verdifulle for dem. At ting skjer, Og de fortsetter å bruke det. Jo, men selvfølgelig. Men poenget er jo dersom tilliten ryker. Dersom vi ikke lenger stoler på det. For da skjer det som vi har snakket om i andre sammenhenger også. Da blir det en åpning i markedet for andre til å komme inn. Se på hvor mange som har prøvd seg frem til nå med forskjellige modeller som skal erstatte Facebook. Alle har feilet brutalt, og det er et fellestrekk for alle sammen at de er vanvittig kjedelige, for det er ingen andre som er der. Det er tomt rom. Og de har ikke nettverkseffekter på det. Det er litt som å introdusere et nytt telefonsystem. Ja, men det er akkurat det. Se på i Norge, ikke sant? Hvis du går tilbake til Nettkom og starter opp, og da var det jo prisforskjell på hvordan du skulle ringe, ikke sant? Ja. noe av det myndighetene gjorde da, var jo å regulere, jeg husker ikke akkurat når det skjedde, men å regulere sånn at du kunne ikke charge på den måten, så du skulle ikke ha så stor pris for å ringe på hver sin nettverk. Og det er jo det som er situasjonen her, ikke sant? At at om vi snakker om Facebook, eller om vi snakker om noen andre i, for den der snakker om norske medier, ikke sant? I det øyeblikket vi ikke lenger har tillit til media A, B eller C, ja, så slutter vi forholdet oss til media A, B eller C. Det hjelper ikke om de har et nett, om de har et godt tilgang på kilder, om de har et godt publiseringssystem og bra journalister. Hvis det er ingen som forholder seg til det, så er de ferdige. Jo, men jeg føler vi diskuterer to forskjellige ting. En ting er produkter som har nettverkseffekter, da. Konkret, sånn som telefon, da. Eller? som blir mer verdifull for hver ekstra telefon. Men et medium er ikke noe som er mer verdifullt for hver nye lesere. Det er riktig, men tillitspoenget er det samme. Hvis ingen av de som du snakker med når du lager skiftersaker har tillit til deg, så gidder de ikke snakke med deg. Hvis leseren ikke har tillit til deg i det du skriver, så slutter du å lese, og da vil heller de som begynner i dag, de vil heller bruke tiden sin på å begynne med noen andre. Så mekanismen, ja det er masse forskjelligheter, men mekanismen er noe av det samme. Jeg mener jo for eksempel at mediene står mye svakere da. ved tank på, eller ved tillitsbrudd. Det gjør de absolutt. Switchingkost har null. Du kan gå fra 18% til vege. Det er noen testetrykk, ikke sant? Men det som jeg prøver å si med det er at det er egentlig det er også en grunn for å gå inn i disse store gigantene, og nå kommer jeg til å si noe som jeg aldri skulle si, og det er at man faktisk skal regulere akkurat hva de gjør med datene sine. Ja, for det har du ikke. Nei, altså det som jeg har sagt er at dette med å kjoppe opp og si ok, nå skal de der også få tak i datene dine, det skurrer noe i meg om det, men at man har en eller annen form for... fordi du har en så svær switching cost. Du går ikke fra Facebook til en annen som nettopp startet, og se hvor mange brukere Twitter har og de andre. Det er ingenting i forhold til og så kommer Facebook og kjøper WhatsApp, så er det viktig å si hva synes vi om samfunnet som er bra, og hva synes jeg er ikke så bra. Men man skal ikke gå alt for langt. Jeg synes at, og da tilbake til GDPR, da er GDPR, synes jeg faktisk, jeg har lest den, det er faktisk en bra framework, Det eneste som jeg synes kan være litt problematisk med det, og det har vi diskutert, er dette med emerging technologies, men ikke bare blockchain, men noe som har egentlig blitt et problem og som ingen kan gi et svar til, og det er maskinlæring og GDPR. Der finnes ikke et klart svar. For det er to elementer i GDPR som snakker mot det, og det ene er at Du må vite hvordan den beslutningen har blitt tatt, the right to explanation, og maskinlæring i mange tilfeller, eller i de fleste tilfeller egentlig, er en black box. Det er en algoritme som fungerer av seg selv. Og det andre er at for å kunne ha gode resultater av maskinlæring, så vet du mange ganger ikke hvilke data du egentlig skal ta tak i. Og det er veldig vanskelig å spørre folk vil du dele disse og disse data med oss, og ikke disse og disse, fordi vi trenger å vite noe vi egentlig ikke vet helt nå hvordan det kommer til å... Jeg synes det er et veldig godt spørsmål. Men det er ingen... Jeg har vært på en dataforening... Jeg har vært to ganger jeg har sett dette live. Den ene var med deg, Torkar. Vi var i en sånn frokostseminar som IKT arrangerte. Brilliant, by the way. Og det var et panel der han, Bjørn Erik, hva heter han, sjefen i datatilsynet? Ton, ja. Han spurte panelet, hva skjer med dette? Og husker du, Tore Karl, det var ikke et klart svar der? Nei, og det er ikke noe klart svar. Men det er også fordi at veldig mye av det som går på maskinlæring og hvordan man bruker data heller ikke er helt klart. Og dette er nok noe av det vi må leve med lang tid fremover på mange områder, at vi vil ha en del områder hvor vi ikke har noe klare svar, og hvor vi må bruke tid på å forstå hva som er hensynet skal ta. Så i GDPR-kontekst er det mange tilnærminger til nettopp maskinlæring. Det går på legitim interesse. Det går på samfunnsområder man har dataene fra og for, som gjør om det er regulert av GDPR i det hele tatt eller ikke. Det går på hvilke type data vi har rett til å få slettet og rett til å få ta med oss. Sånn at jeg kan jo gi et datasett til deg som du skal basere og bruke til maskinlæring, og det jeg har krav på å få ut igjen er antagelig det datasettet, og ikke læringen. Og det jeg har krav på å få slett er det datasettet, ikke læringen, og så videre. Så det er ganske mye her, og jeg er ganske trygg på at hvis vi spoler to-tre år frem, så er mye av dette her løst nok oppi. Og jeg tror det er viktig også i dette å være bevisst på at vi er i en fase som vi rett og oppleves som uklar og vanskelig og kanskje til og med litt vond, nettopp fordi det er så mye av det vi gjør med teknologi nå som er så nytt for oss, og som vi er midt i læringsfasen. Det er litt sånn der ... Hva er det egentlig vi driver med? Hva kommer egentlig til å gjøre? Hvis du ser bak ut, så har vi sett mange sånne faser før, men problemet akkurat nå er kanskje mer at det er så mange som forventer at det finnes klare svar på alt, enn at du har så mange jurister som skal definere, du har så vanvittig mange compliance-folk Du har store konsulenthus som løper rundt og skal garantere for ting. Du har politikere som ikke vil ta en beslutning hvis ikke de vet nøyaktig utfallet, og så videre. Så vi er i en sånn trygghetsparanoia-situasjon, og det er det som egentlig er problemet, tror jeg. Jeg tenker på dette med data. Data er jo den heldige graven, eller hva man måtte kalle det. Men det er noe spesielt ved data. versus bananer. Hva mer er det? Nei, altså det er noe som det er umulig for den menneskelige hjernen å forstå. Verdien av dekdaterne? Ja, verdien og konsekvenser og implikasjoner. Fordi det er så eksponensielt, og det øker jo eksponensielt fra år til år. Og det er noe vi prøver å regulere. Tidligere har man jo regulert ting som er ganske håndfast. mens data representerer noe etterpå. Hvis den bananen skal over grenser, så skal det gå 12 sånn. Ikke sant? Ja. Den skal være dyrka sånn og sporbart sånn. Løpt opp, ikke sant? Mens med data så er det et helt nytt paradigma. Men tenk på Bang Bessene for eksempel. De har gått gjennom mange bølger med regulering. Mange, for det er en komplisert sak det også. Jo, men selv der er det lett å forstå. Det er mye lettere å forstå enn å forstå. Det jeg og Dermed, jeg tror dere har rett, det er regulering av ny teknologi, til og med biler. Til og med da bilene kom til verden, så var det 14-åringer som gikk rundt i New York og påkjørte folk. Så til myndighetene sa, ok, her må vi regulere noe. Men poenget er at du må ikke overregulere disse gigantene eller andre. som kan virkelig komme med innovasjoner og verdi som vi ikke er i stand i dag til å forstå. Det er grensen. Balansen mellom regulering og og ikke minst evne til å kunne skape innovasjon. Og så er det jo da et element, og produktet her er jo noe som folk ikke forstår. Fordi det er så komplisert. Ja, og når folk ikke forstår konsekvensene av hva de gjør, så er det nesten uungåelig. Men her er det viktig å se på igjen tilbake til GDPR, ikke sant? Se på hva er det her for noe? Det er veldig fort å gå i en fell at de diskuterer det som GDPR stiller opp noen spesifikke krav, som du har innenfor og utenfor. Hun sa i sted at det GDPR i bottomline gjør er å si at du skal passe på at behandlingen din av data er lovlig, at den er transparant og at den er balansert. Men hun sier jo da at videre er logikken i GDPR at den behandlingen du skal gjøre, hvis den er lovlig, hvis du ser at dette er grunnlag for å gjøre, så må du da se på hva er risikoene her? Hva er risikoene for den det gjelder? Også i rommet. Hvilken risiko kan denne behandlingen utgjøre for oss? Og så må du da som ansvarlig si, ok, hva kan jeg gjøre for å redusere risikoen? Jeg vurderer sånn at dette er risikoen, jeg vurderer at dette er tiltak jeg kan gjøre som reduserer den risikoen til et nivå som at dette er akseptabelt. derfor gjør jeg disse tiltakene, derfor er jeg komfortabel med at dette kan jeg gjøre, og så går jeg videre med jobbingen min med behandling av data. Så GDPR er sund fornuft? Det er nettopp det det er, og så virker jeg et tarbuk til det norske ordet hvor man kobler fornuft til et bestemt yrke, som har vært lenge og sånn, men poenget er at Det handler veldig mye om å passe på at man gjør risikovurderingene, passe på at man har lov til å gjøre det man har lyst til å gjøre, passe på at de som blir berørt av det er informert og kan delta og så videre. Så det er ikke rocket science på noen vis. Man trenger ikke å leie inn advokater til 30-grunn-dimmen eller andre... som skal gjøre den jobben for deg. Det kan godt hende at du trenger å gjøre, men du skal ikke sette bort alt sammen til noen. Nei, for da kan ikke hele poenget ha et bevisst forhold til seg selv. Ja, nettopp. Og du skal passe på at du lærer, du er en lærerorganisasjon, lærer hva som foregår her, og forstår hvordan det henger sammen med modellene dine. Så kan det godt være her som det er på andre felt, altså skal du ha en stikkontakt så trenger du en elektriker. Du trenger kanskje advokater til å gjøre noen vurderinger i dette. Du trenger kanskje noen teknikere til å skru litt på systemene dine, og så videre, sånn som du likevel ville trengt. Så dette handler jo om å tenke igjennom hva man gjør, og når du kommer til stykket, hvis det er sånn da, at noe dere gjør i skifter viser seg å være ulovlig etter GDPR, så kan du hente at det ikke er så smart å gjøre uansett. Ja. For igjen da, hva gjør dere da? Jo, dere vet hvem som kommer og leser saken eller hører på podcastene. Det vet vi for sjovt ikke, bare så det er sagt. Vi vet ingenting. Jo da, hvis dere vil så vet dere. Men la oss ta noe helt annet da. La oss ikke gå inn i det. Altså, man kan vite det. Og så vet man det da. Og hva er risikoen med det? Jo, risikoen med det kan identifiseres som A, B, C, D, E, F, G. Ok, så kan vi redusere den risikoen, så gjør vi det. Og det er jo lurt å gjøre uansett, for da er vi igjen tilbake til utgangspunktet som er tillit, og igjen tilbake til utgangspunktet for at disse samtalene foregår mellom den unge mannen og de gamle, i hovedsak gamle mennene og de få gamle damer nå i USA, er jo nettopp det igjen, ikke sant? For de prøver å finne ut av, er det grunn til å stolpe for andre her? Kan vi fortsette å stolpe for andre, eller må vi regulere spesifikt? Ok, så det handler om å legge til rette for tillit. Hvis du ser på EUs begrunnelse, så er det også at fordi økonomien fremover skal være så datadrevet, så må vi passe på at dette her ikke går til helvete. Jeg har gått fra å være en GDPR-hater til å bli en GDPR-lover. Les GDPR. Regulation, den er ikke så vanskelig å lese. Det går an, altså. Jeg skal sette meg ned og lese artikkel 5, men vi har jo et mål i kifte om å være best i klassen på GDPR. Veldig bra. Oi, begynn med artikkel 5. Ja, vi begynner her. Og så nedover. Og bare vær klar over at hvis det har skjedd noe med... med salgvalgård i løpet av de neste par dagene, så er det sikkert noen advokater som slømmer han fordi han sier det er ikke så vanskelig. Det er det ikke. Det er det også. Så hvis de ikke ser oss på en sted, hvis de er stille for oss nå framover... Og advokater kan sikkert si et sånt fulle bevis. Hvor er de to gutta nå? Ingen som vet. Og det er viktig i dette, ikke sant? Bare tenke, hva er det jeg holder på med? Og prøve å forstå. Og hvis dere i skifter ikke forstår hvilke data dere har, så er det jo det som er problemet. Ikke at det stilles et krav mot at du skal forstå hvilke data du har. Det er helt korrekt. Helt enig. Man bør ha kontroll på sine data om sine brukere, og ikke minst for å se hvilke muligheter man kan... En skattekiste. Ja, hva er mulighetene? Og så er det jo sunt også nå med mange år med lemfeldig bruk av data for mange bedrifter, å ta en sånn en sjekk og en stor vårengjøring for å se hva man egentlig trenger. Jeg er blitt mer positiv til GDPR. Takk til hver av dere. Veldig bra. Vi må dessverre avslutte. Tusen hjertelig takk for at du kunne komme med, Torgeir. Veldig hyggelig av deg i studio. Håper du kan komme igjen en annen gang. Kommer tilbake. Kommer tilbake. I'll be back, som Arnold Schwarzenegger sa i filmen Terminator. Og ikke minst, tusen takk til deg, Salvador Baie. Hei, er du en CEO eller CTO i et vekstselskap og trenger flere utviklere? Da vet du at det er ganske krevende å finne dyktige utviklere i Norge. Men håpet er heldigvis ikke ute. Cefalo er et norsk outsourcing-selskap som har klart å bli en av de aller beste arbeidsgiverne for seniorutviklere i Bangladesh. Cefalos spesialitet er å rekruttere og bygge langsiktig utviklingsteam sammen med den norske kunden. Og det å ha faste utviklere gjennom Cefalo skal i praksis oppleves som å ha egen ansatte. Så er du interessert i å høre mer om å ha eksterne utviklere, så vil Cefalo gjerne ta en veldig hyggelig prat med deg. Så sjekk ut cefalo.no, altså C-E-F-A-L-O.no.