Open Banking og personvern
•Download as PPT, PDF•
1 like•65 views
Presentasjon avholdt under F3 FintechAcademy av Silje Fagerhaug, Advokat ved Simonsen Vogt Wiig. F3 FintechAcademy avholdes ved inkubatoren F3 i Trondheim flere ganger i året, og er der fintech-miljøet i Trondheim samles under samme tak.
Recommended
Recommended
More Related Content
Similar to Open Banking og personvern
Similar to Open Banking og personvern (8)
Open Banking og personvern
- 1. www.svw.no Open Banking og personvern Fintech Academy 17. april 2018 Advokatfullmektig Silje Fagerhaug
- 2. Muliggjørende teknologi • Lettere/billigere å samle inn, lagre og analysere enorme datamengder – Stordata – Sensorteknologi – Kunstig intelligens • Regulatoriske endringer bidrar til innovasjon: PSD2 (Revised Payment Services Directive) – Åpner markedet for mer konkurranse – Betalingsordretjenester – Kontoinformasjonstjenester • Ny forordning om personvern: GDPR(General Data Protection Regulation)
- 3. Tillit
- 5. Personopplysninger • enhver opplysning om en identifiserbar fysisk person • atferdsmønstre • sensitive personopplysninger • big data
- 6. Samtykke PSD2 artikkel 94 nr. 2: Payment service providers shall only access, process and retain personal data necessary for the provision of their payment services, with the explicit consent of the payment service user.
- 7. Skjerpede krav til samtykke i GDPR • Frivillig, spesifikk, informert og utvetydig erklæring gjennom klar bekreftende handling • Presumsjon for at samtykket ikke er frivillig dersom – Klar ubalanse mellom partene – Det ikke gis anledning til særskilt samtykke til ulike formål – En tjeneste gjøres betinget av samtykke til behandling som ikke er nødvendig for tjenesten • Samtykket må tydelig løftes frem fra andre vilkår • Behandlingsansvarlig må kunne dokumentere samtykket • Samtykke skal enkelt kunne trekkes tilbake – Sletting GDPR Art 4 (11), 6, 7, 8 og 9, samt fortalen 32, 43 og 155
- 8. Automatisering og profilering • Persontilpassede tjenester • Risikoprofilering/markedsprofilering • Profilering = enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser, (GDPR artikkel 4 nr. 4)
- 10. Rett til å si nei til automatiserte avgjørelser • Avgjørelser som har rettsvirkning eller i betydelig grad påvirker vedkommende • Rett til ikke å være gjenstand for avgjørelse som utelukkende er basert på automatisert behandling – herunder profilering – kredittsjekk – automatiske vedtak • Unntak: – Nødvendig for inngåelse av en kontrakt – Samtykke – Lovhjemmel
- 11. Rett til innsyn i hvordan automatiske beslutninger er fattet • GDPR artikkel 15 nr. 1 bokstav h • Utfordning: Systemer/maskiner som tar beslutninger uten at man er i stand til å forklare hvorfor beslutningen ble som den ble
- 12. Oppsummering • Personvern som konkurransefortrinn • Åpenhet og gjennomsiktighet • La kunden få velge • Innebygd personvern • Vurdering av personvernkonsekvenser • Sikkerhet
Editor's Notes
- Takk for invitasjon Presentasjon Målet med foredraget: hvordan personvernet påvirker open banking.
- Teknologi har gjort det vesentlig lettere å samle inn, bruke og lagre data. Det er mye mer tilgjengelig. Den teknologiske utviklingen med stordata og sensorteknologi gjør det mulig å samle inn utrolig mye. Det er i tillegg mye som skjer på regelverksiden. EU har kommet med et nytt betalingstjenestedirektiv som åpner for at flere kan tilby betalingstjenester og kontoinformasjonstjenester. PSD1 åpnet for at andre enn bankene kunne tilby betalingstjenester, men uten nærmere beskrivelse av hvilke typer betalingstjenester som var omfattet. Dette første betalingsdirektivet dekket derfor ikke alle typer betalingstjenester som potensielt kunne tilbys forbrukerne, for eksempel der kunden vil gjennomføre en betaling direkte fra sin betalingskonto, uten å bruke kort eller nettbank. Derfor kom versjon 2 – PSD2. Samtidig har vi fått en ny personvenforordning som strammer inn regelverket for behandling av personopplysninger. To grunner til at personvern er så viktig når vi snakker om Open Banking: Den ene er Tillitt
- Banker og forsikringsselskaper behandler store mengder informasjon om oss. Når vi oppretter et kundeforhold i banken, samles det inn og lagrer informasjon for å administrere kundeforholdet. Søker vi om lån trengs informasjon om våre økonomiske forhold. Informasjonen brukes for eksempel til å vurdere om vi skal få lån eller ikke. Det registreres når penger går inn og ut av konto. Kontroll ihht. hvitevaskingsloven. Forsikringsselskaper behandler også mange typer informasjon. Sensorer i bilen for eksempel? Prisen på forsikringen beregnes ut i fra vår atferd. Undersøkelser fra Datatilsynet viser at vi har stor tillitt til at bankene behandler opplysninger om oss og vår økonomi på en ordentlig måte. Vil du at hvem som helst skal ha tilgang til informasjon om din privatøkonomi? Å ha kontroll på personopplysningene, og å ha tillit til at du har kontroll, er derfor helt avgjørende for å lykkes innenfor Open Banking.
- Verdien i smarte produkter ligger ikke primært i salg av produktet selv. Det er i dataene som produktene samler inn at de store verdiene ligger. En sentral del av forretningsmodellen til leverandører av internettoppkoblede produkter er derfor å tjene penger på videresalg av de opplysningene som utstyret samler inn, eller å dele dem med andre aktører gjennom strategiske partnerskap. Open banking gir mulighet til å samle inn data om folks bruksmønster, kjøpsvaner, som igjen kan selges videre eller deles med partner. En mobil betalingstjeneste gir mulighet til å samle inn verdifulle opplysninger om kundens forbruksmønster. For eksempel Fitbit(treningsarmbånd) har inngått partnerskap med forsikringsselskap (Vitality Group).
- Hva er personopplysninger? Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.
- Man må ha et lovlig grunnlag for å samle inn personopplysninger, en hjemmel. Saml. GDPR artikkel 6. Psd2 krever at betalingstjenestetilbydere kun skal oppbevare personopplysninger etter samtykke fra den registrerte. Samtykke er bare ett av flere grunnlag til å behandle personopplysninger, det er ikke alltid nødvendig. Men her er det altså det. Og dette får konsekvenser for personvernet. Fordi det finnes regler om hvordan et samtykke skal foregå.
- Klar bekreftende handling: Må krysse av. Spørsmålet blir: Hva er frivilling? Klar ubalanse: typisk arbeidstaker arbeidsgiver. Samtykke må knyttes til hvert formål. Feks kan man samtykke til at opplysninger brukes internt i bedriften, men nekte å samtykke til at opplysninger brukes til markedsføring. Nekte å samtykke til publisering på nett. Dersom samtykke trekkes tilbake, kan den registrerte kreve å få sine data slettet. Jfr. Artikkel 17.
- Det er her verdiene ligger. Fordi dataene blant annet kan benyttes til profilering. Kan benyttes til å analysere eller forutsi økonomisk situasjon.
- Med dagens metoder for å godkjenne lånesøknader tar man lite hensyn til om søkeren er flink med økonomien. Faren for mislighold kan være svært forskjellig selv om folk har samme inntekt. Håvard tar kanskje mange glass på byen mens Nikolai spiser knekkebrød. Håvard tjener kanskje mer, men Nikolai er flinkere til å spare. Folk forventer ikke at forbruksmønsteret deres blir analysert og kan få konsekvenser for om de får lån eller ikke. Det er viktig at man ikke går i gang med slike analyser uten at kundene er informert om dette, sier hun. Automatiserte beslutninger om lån kan får store konsekvenser, og må være rettferdige og etterprøvbare. Nye former for dataanalyse i verste fall kan oppleves som overvåking.