Magma
21.04.2020
INTRODUKSJON
Mange bedrifter bruker persondata i tjenesteutvikling og kundepleie, og vil gjerne levere personaliserte tjenester som er like bra som Amazons bokanbefalinger. Disse er ofte relevante, og man forstår hvorfor de dukker opp, og hvilke data som er brukt. Kunder verdsetter at personlig informasjon brukes til å skape gode og effektive tjenester, men databruken bør ikke bli for nærgående. Hvis en bedrift trår over grensen til det private, kan det ha negative konsekvenser for kundenes tillit. Å balansere hensynene mellom tilpassede tjenester og personvern er vanskelig, og for næringslivet finnes det risiko på begge sider. For lite bruk av personlige data kan resultere i at konkurrenter leverer bedre tjenester og vinner kundene. Brukes for mye data, kan kundene oppleve at privatlivet invaderes, og de bytter leverandør. For å håndtere denne tosidige risikoen er det viktig å forstå kundens preferanser og holdninger knyttet til bruk av personlige data. Målet med denne artikkelen er å bidra med innsikt om unge norske forbrukere samt presentere et analytisk rammeverk og konkrete eksempler fra Norge.
Med smarttelefoner og raske mobile datanettverk har personvernproblematikk gått inn i ny æra. Privatsfæren innsnevres når telefonen er full av apper som logger aktivitet. Intensjonen er ofte god, og informasjonen brukes til å utvikle gode produkter og tjenester. Samtidig utgjør dette en potensiell trussel mot personvernet, og brukerne er bekymret for at data kan komme på avveie og misbrukes. Det er hevdet at vi står overfor et personvernparadoks, der forbrukere er bekymret, men ikke gjør noe for å passe på dataene sine (Kokolakis, 2017).
Våren 2018 fikk to personvernsaker bred dekning i norske medier (se figur 1): den såkalte Cambridge Analytica-skandalen og innføringen av EUs nye personvernregulering (General Data Protection Regulation, GDPR). Mediedekningen belyste to sentrale temaer knyttet til hvordan persondata brukes i digitale markeder. Cambridge Analytica-oppslagene viste hvordan data kan misbrukes, mens GDPR-oppslagene viste hvordan nytt regelverk skal hindre slikt.
Kjernen i Cambridge Analytica-skandalen var at Facebook-data fra rundt 87 millioner mennesker, hovedsakelig i USA, ble brukt til politisk påvirkning uten at de var klar over det (Isaak & Hanna, 2018; Tjøstheim & Høibø, 2019). Cambridge Analytica brukte innsamlede data til formål de ikke hadde kommunisert. Selskapet høstet også data fra brukere de ikke hadde kontakt med. Dataene ble brukt til å predikere personlighet, altså informasjon som mange vil oppleve som svært personlig. Skandalen resulterte blant annet i et krav om strengere regulering i USA (Isaak & Hanna, 2018).
Ny regulering på personvernområdet ble innført i EU og Norge i mai 2018. Reguleringen, kjent som GDPR, er ment å styrke EU-borgernes personvernrettigheter og privatliv når samfunnet blir stadig mer datadrevet. For en nærmere gjennomgang av GDPR, se for eksempel Jarbekk og Sommerfeldt (2019).
Gjennom denne artikkelen vil vi bidra til en bedre forståelse av personvern fra et kundeperspektiv. Opptrer unge nordmenn i tråd med personvernparadokset? Har kundene et bevisst og aktivt forhold til digitalt personvern? Hvordan kan en som næringsaktør tilnærme seg problemstillingen? Økt kunnskap om kundenes forhold til personvern vil sette bedrifter bedre i stand til å gjøre gode valg knyttet til utnyttelse av kundedata.
LITTERATURGJENNOMGANG
Litteraturen på personvern er rik, og vi vil her kort dekke tre ulike undertema som er viktige for vår studie: (1) personvernbevissthet, målt ved bekymrings- og kunnskapsnivå, (2) adferd, både knyttet til deling av data og å beskytte egne data, og (3) det såkalte personvernparadokset. En oversikt over hvordan personlige data brukes kommersielt i utvalgte bransjer i Norge, finnes i Dulsrud og Alfnes (2017).
PERSONVERNBEVISSTHET
I mange studier brukes bekymringsnivå som eneste mål på personvernbevissthet. Basert på bekymringsnivå deles forbrukerne ofte inn i fundamentalister, pragmatikere og ubekymrede. Denne segmenteringen ble introdusert av Alan Westin i 1995 (Westin, 2003). Westin har gjennomført en rekke personvernundersøkelser helt tilbake til 1978, og indeksert og studert utvikling av blant annet bekymringsnivå. Kumaragura og Cranor (2005) gir en systematisk gjennomgang av Westins arbeid. Kobsa, Cho og Knijnenburg (2016) videreutvikler målingen av personvernbekymring i en digital kontekst.
Kunnskapsnivå er et viktig komplement til bekymring. Park (2011) deler personvernkunnskap i tre deler: kunnskap om tekniske sider ved internett, kunnskap om hvordan internettselskaper samler og bruker personlig informasjon, og kunnskap om politikkutforming knyttet til personvern. Park og Jang (2014) tar også med hva forbrukerne aktivt er i stand til å gjøre for å beskytte dataene sine. Trepte og medforfattere (2015) legger til kunnskap om personvernrisiko og -trusler og hvordan slike trusler bør håndteres.
I Evjemo og medforfattere1 (2020) kombineres kunnskaps- og bekymringsnivå i en bevissthetsmatrise for personvern, se figur 2. Der deles forbrukerne inn i segmentene den ubevisste, den bekymrede, den bekymringsløse og den kunnskapsrikt bekymrede. Bekymring måles gjennom seks påstander, i hovedsak basert på Kobsa og medforfattere (2016). Kunnskap måles gjennom ni kunnskapsspørsmål, delvis basert på Trepte og medforfattere (2015) og Park og Jang (2014). Vi bruker bevissthetsmatrisen i vår analyse og kommer tilbake til dette i metodedelen.
Flere studier ser også på hvilke drivkrefter som former personvernbevissthet. En mye brukt parameter er hvordan en bedrift presenterer sine personverninnstillinger (se for eksempel Tsai mfl., 2011). Vi kjenner ikke til arbeid som undersøker effekter av medieoppslag på personvernbevissthet. Sammenhengen mellom mediedekning, kunnskap og adferd er imidlertid veletablert i for eksempel politisk økonomi. I Prat og Strömberg (2013) beskrives hvordan mediedekning og mediekonsum øker innsikt i politiske saker, og hvordan dette igjen påvirker stemmeadferd.
ADFERD
Tidligere empiriske studier av temaer som er sentrale for vårt arbeid, gjennomgås i en oversiktsartikkel av Acquisti, Brandimarte og Loewenstein (2015). De oppsummerer eksisterende forskning langs tre dimensjoner. Den første er usikkerhet knyttet til konsekvensene av å dele data. Det er uklart for forbrukerne hva dataene brukes til, og vanskelig å sette en verdi på mulige negative konsekvenser. For det andre er oppfattelsen av hvor grensen mellom det private og det offentlige går, kontekstavhengig. For det tredje er faktorene som påvirker bekymringsnivå og adferd knyttet til personvern, manipulerbare. For eksempel kan ulike utforminger av en webside gjøre at et spørsmål besvares ulikt (John, Acquisti, & Loewenstein, 2011). Mange forbrukere har lite kunnskap om disse temaene, mens en kommersiell aktør ofte har inngående kunnskap om hvordan de kan stimulere til datadeling.
Et eksperiment gjennomført blant tyske brukere av en internettside (Utz mfl., 2019) viser hvor lett adferd kan påvirkes. Deltagerne i eksperimentet ble gitt forskjellige varianter av et banner for å akseptere informasjonskapsler, eller såkalte cookies. Enkel bruk av såkalt dulting (eng. nu
Gå til medietMed smarttelefoner og raske mobile datanettverk har personvernproblematikk gått inn i ny æra. Privatsfæren innsnevres når telefonen er full av apper som logger aktivitet. Intensjonen er ofte god, og informasjonen brukes til å utvikle gode produkter og tjenester. Samtidig utgjør dette en potensiell trussel mot personvernet, og brukerne er bekymret for at data kan komme på avveie og misbrukes. Det er hevdet at vi står overfor et personvernparadoks, der forbrukere er bekymret, men ikke gjør noe for å passe på dataene sine (Kokolakis, 2017).
Våren 2018 fikk to personvernsaker bred dekning i norske medier (se figur 1): den såkalte Cambridge Analytica-skandalen og innføringen av EUs nye personvernregulering (General Data Protection Regulation, GDPR). Mediedekningen belyste to sentrale temaer knyttet til hvordan persondata brukes i digitale markeder. Cambridge Analytica-oppslagene viste hvordan data kan misbrukes, mens GDPR-oppslagene viste hvordan nytt regelverk skal hindre slikt.
Kjernen i Cambridge Analytica-skandalen var at Facebook-data fra rundt 87 millioner mennesker, hovedsakelig i USA, ble brukt til politisk påvirkning uten at de var klar over det (Isaak & Hanna, 2018; Tjøstheim & Høibø, 2019). Cambridge Analytica brukte innsamlede data til formål de ikke hadde kommunisert. Selskapet høstet også data fra brukere de ikke hadde kontakt med. Dataene ble brukt til å predikere personlighet, altså informasjon som mange vil oppleve som svært personlig. Skandalen resulterte blant annet i et krav om strengere regulering i USA (Isaak & Hanna, 2018).
Ny regulering på personvernområdet ble innført i EU og Norge i mai 2018. Reguleringen, kjent som GDPR, er ment å styrke EU-borgernes personvernrettigheter og privatliv når samfunnet blir stadig mer datadrevet. For en nærmere gjennomgang av GDPR, se for eksempel Jarbekk og Sommerfeldt (2019).
Gjennom denne artikkelen vil vi bidra til en bedre forståelse av personvern fra et kundeperspektiv. Opptrer unge nordmenn i tråd med personvernparadokset? Har kundene et bevisst og aktivt forhold til digitalt personvern? Hvordan kan en som næringsaktør tilnærme seg problemstillingen? Økt kunnskap om kundenes forhold til personvern vil sette bedrifter bedre i stand til å gjøre gode valg knyttet til utnyttelse av kundedata.
LITTERATURGJENNOMGANG
Litteraturen på personvern er rik, og vi vil her kort dekke tre ulike undertema som er viktige for vår studie: (1) personvernbevissthet, målt ved bekymrings- og kunnskapsnivå, (2) adferd, både knyttet til deling av data og å beskytte egne data, og (3) det såkalte personvernparadokset. En oversikt over hvordan personlige data brukes kommersielt i utvalgte bransjer i Norge, finnes i Dulsrud og Alfnes (2017).
PERSONVERNBEVISSTHET
I mange studier brukes bekymringsnivå som eneste mål på personvernbevissthet. Basert på bekymringsnivå deles forbrukerne ofte inn i fundamentalister, pragmatikere og ubekymrede. Denne segmenteringen ble introdusert av Alan Westin i 1995 (Westin, 2003). Westin har gjennomført en rekke personvernundersøkelser helt tilbake til 1978, og indeksert og studert utvikling av blant annet bekymringsnivå. Kumaragura og Cranor (2005) gir en systematisk gjennomgang av Westins arbeid. Kobsa, Cho og Knijnenburg (2016) videreutvikler målingen av personvernbekymring i en digital kontekst.
Kunnskapsnivå er et viktig komplement til bekymring. Park (2011) deler personvernkunnskap i tre deler: kunnskap om tekniske sider ved internett, kunnskap om hvordan internettselskaper samler og bruker personlig informasjon, og kunnskap om politikkutforming knyttet til personvern. Park og Jang (2014) tar også med hva forbrukerne aktivt er i stand til å gjøre for å beskytte dataene sine. Trepte og medforfattere (2015) legger til kunnskap om personvernrisiko og -trusler og hvordan slike trusler bør håndteres.
I Evjemo og medforfattere1 (2020) kombineres kunnskaps- og bekymringsnivå i en bevissthetsmatrise for personvern, se figur 2. Der deles forbrukerne inn i segmentene den ubevisste, den bekymrede, den bekymringsløse og den kunnskapsrikt bekymrede. Bekymring måles gjennom seks påstander, i hovedsak basert på Kobsa og medforfattere (2016). Kunnskap måles gjennom ni kunnskapsspørsmål, delvis basert på Trepte og medforfattere (2015) og Park og Jang (2014). Vi bruker bevissthetsmatrisen i vår analyse og kommer tilbake til dette i metodedelen.
Flere studier ser også på hvilke drivkrefter som former personvernbevissthet. En mye brukt parameter er hvordan en bedrift presenterer sine personverninnstillinger (se for eksempel Tsai mfl., 2011). Vi kjenner ikke til arbeid som undersøker effekter av medieoppslag på personvernbevissthet. Sammenhengen mellom mediedekning, kunnskap og adferd er imidlertid veletablert i for eksempel politisk økonomi. I Prat og Strömberg (2013) beskrives hvordan mediedekning og mediekonsum øker innsikt i politiske saker, og hvordan dette igjen påvirker stemmeadferd.
ADFERD
Tidligere empiriske studier av temaer som er sentrale for vårt arbeid, gjennomgås i en oversiktsartikkel av Acquisti, Brandimarte og Loewenstein (2015). De oppsummerer eksisterende forskning langs tre dimensjoner. Den første er usikkerhet knyttet til konsekvensene av å dele data. Det er uklart for forbrukerne hva dataene brukes til, og vanskelig å sette en verdi på mulige negative konsekvenser. For det andre er oppfattelsen av hvor grensen mellom det private og det offentlige går, kontekstavhengig. For det tredje er faktorene som påvirker bekymringsnivå og adferd knyttet til personvern, manipulerbare. For eksempel kan ulike utforminger av en webside gjøre at et spørsmål besvares ulikt (John, Acquisti, & Loewenstein, 2011). Mange forbrukere har lite kunnskap om disse temaene, mens en kommersiell aktør ofte har inngående kunnskap om hvordan de kan stimulere til datadeling.
Et eksperiment gjennomført blant tyske brukere av en internettside (Utz mfl., 2019) viser hvor lett adferd kan påvirkes. Deltagerne i eksperimentet ble gitt forskjellige varianter av et banner for å akseptere informasjonskapsler, eller såkalte cookies. Enkel bruk av såkalt dulting (eng. nu