28.01.2016  |  Menneskerettigheder

Indspark: Privacy i CSR - et nyt risikoområde

Data om os behandles i stadigt større mængder og udnyttes både kommercielt og til effektiviseringer. Det skaber nye risici for negativ effetkt på privacy og persondatabeskyttelse, og er derfor et område, der bør med i CSR-indsatsen.

I dag fejres den internationale privacy dag eller databeskyttelsesdag som den kaldes i Europa. Det er 10. gang, at den 28. januar bruges til at sætte fokus på beskyttelse af vores persondata og emnet er mere relevant end nogensinde før.

Vores data flyder i stigende omfang på tværs af både virksomheder, myndigheder og landegrænser, det sker hver dag og har betydning for både vores arbejdsliv, vores sundhed og når vi køber varer og tjenester eller bare bruger internettet til at finde informationer på.

Data opbevares også i meget større mængder end tidligere og flere typer af data indhentes dagligt om os fra sociale medier, cookies og apps, men også via wi fi, kameraer og vores mobiltelefoners unikke numre. Ved at kombinere disse data med de data, vi efterlader eller giver fra os som kunder, borgere, patienter, medlemmer og passagerer, er det muligt at skabe indsigt i vores liv og privatsfære. Med big data analytics er det derfor muligt at skabe detaljerede profiler af vores købemønstre, opholdssteder og geografiske bevægelser, vores rejser, relationer til andre mennesker og miljøer samt præferencer for musik, kultur og politik. Vi er med andre ord blevet transparente mennesker og har ikke kontrol over, hvem der har indsigt i hele eller dele af vores privatliv.

Et populært eksempel på brug af big data med overraskende konsekvenser er den amerikanske butikskæde Targets brug af deres register over gravide kunders ønskelister og forventede fødselstidspunkt til at afdække forbrugsmønsteret hos gravide kvinder. Ved at korrelere fødselstidspunkt og købstidspunkt for bestemte produkter, kunne de sende reklamemateriale til de kunder, som havde samme købeadfærd som gravide. Blandt modtagerne var en teenagepige og hendes far reagerede ved at klage til Target over at hans datter modtog materiale, for hun var jo ikke var gravid. Det viste sig imidlertid, at datteren faktisk var gravid, men endnu ikke havde fortalt det til sin far.

Eksemplet viser, hvordan big data kan generere indsigt i nye og følsomme forhold, som kunden ikke kunne have en rimelig forventning om ville fremkomme, blot fordi hun handlede i et supermarked og var opført i deres kundedatabase.

Virksomheder og myndigheders mulighed for at opnå viden om os og bruge den til at opfylde kommercielle interesser eller mål om effektivisering og kvalitetsforbedring, indeholder et stort vækstpotentiale, men medfører også nye risici. Et overordnet spørgsmål, der netop er rejst af US Federal Trade Commission er, om brugen af data vil føre til inklusion eller eksklusion af lavindkomstfamilier og udsatte personer. Og svaret er både og. Nogle vil opleve at blive udelukket fra arbejdsmarkedet, fra uddannelse, lån og kredit på grund af en segmentering eller profilering, der fx bygger på deres indkomst, adresse, alder eller køn. Omvendt vil analyserne også netop kunne afdække disse gruppers behov og føre til tiltag, der kan inkludere dem i samfundet.

En amerikansk virksomhed brugte fx en algoritme ved rekruttering af medarbejdere, der lagde vægt på ansøgerens afstand til arbejdspladsen og foretrak dem med kortest afstand. En anden virksomhed undlad at anvende denne faktor, fordi de så det som en risiko for diskrimination at foretrække ét byområde frem for et andet, da områderne var sammensat forskelligt i forhold til etnisk repræsentation.

I år er der en helt særlig grund for danske virksomheder til at se på, om de har styr på beskyttelsen persondata om kunder, medarbejdere eller andre relevante personer. EU vedtager nemlig her i foråret en forordning om persondatabeskyttelse. Forordningen stiller krav om, at der udføres vurderinger af risikoen for at påvirke den enkelte kundes persondatabeskyttelse. Det vil fx være nødvendigt, hvis tab eller læk af de behandlede data og uautoriseret adgang til data, skaber risiko for fx diskrimination eller ID-tyveri.

Samtidig er der i 2015 indføjet nye krav til CSR rapportering i årsregnskabsloven, som bl.a. betyder, at virksomhederne skal oplyse om deres due diligence processer og risikovurderinger i forhold til menneskerettigheder. Og privacy og persondatabeskyttelse hører netop ind under dette område, da de som rettigheder er indlejret i både menneskerettighedskonventioner og EU-charteret for grundlæggende rettigheder.

Danske virksomheder bør derfor allerede nu forholde sig til deres indsamling og brug af persondata om kunder og vurdere, om der er risiko for, at de ikke lever op til kravene om kun at indsamle persondata til bestemte formål, kun behandle relevante og nødvendige data, huske at oplyse kunderne om deres brug og videregivelse af data, og om deres ret til at få adgang til data, og i nogle tilfælde får dem slettet eller rettet. Og kun behandle data på baggrund af samtykke, et lovgrundlag eller en kontrakt. Dataansvarligheden kræver imidlertid også overvejelser af etiske karakter. Spørgsmål der bl.a. må besvares er: hvad betyder vores segmentering, godkendelse eller afvisning af kunder, når det sker på baggrund af automatisk profilering? Er vi med til at skabe nye sociale uligheder og diskrimination?

Risikobilledet for privacy er mangefacetteret og uigennemskueligt ved første øjekast, men opmærksomheden på området og indarbejdelse af det i CSR-indsatsen og den forretningsmæssige risikostyring kan være med til at gøre virksomhederne parate til at opfylde de nye krav.

Få hjælp til at komme i gang her: PrivacyKompasset

Erhvervsstyrelsen lancerede i november 2015 PrivacyKompasset. Det hjælper virksomheder til at teste, om de opfylder persondataloven og kravene i den kommende EU forordning, og giver derudover mulighed for at generere en privacy policy til brug for oplysning af kunder.

https://privacykompasset.erhvervsstyrelsen.dk/

Kilder

http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day_en.asp

https://www.ftc.gov/system/files/documents/reports/big-data-tool-inclusion-or-exclusion-understanding-issues/160106big-data-rpt.pdf

Mere fra Birgitte

Birgitte Kofod Olsen

Partner, Ph.D.

Jeg har arbejdet med CSR i teori og praksis i mere end 20 år, først som forsker og leder på Institut for Menneskerettigheder, derefter som CSR-chef i Tryg og nu som partner i Carve Consulting, hvor jeg rådgiver virksomheder, organisationer og myndigheder, der ønsker at gøre CSR til en integreret del af deres forretning og drift. Sammen med kunden finder…

Se profil  

  CSR.dk anvender cookies, som vi bruger til at huske dine indstillinger og statistik m.m. Når du fortsætter med at bruge websitet accepterer vores nye cookie- og persondatapolitik. Læs mere