Den nederlandske telekomgiganten Odido (tidligere kjent som T-Mobile Netherlands) står for tiden i sentrum av en personvernskandale som sender sjokkbølger gjennom europeisk teknologibransje. Det som startet som et alvorlig, men dessverre vanlig datainnbrudd hos en underleverandør, har nå fått et langt mer smertefulle etterspill: Det viser seg at selskapet kan ha lagret kundenes personopplysninger i strid med loven.
Datainnbruddet som avslørte et større problem
Saken, som nylig ble omtalt av den nederlandske nyhetsaktøren NU.nl, belyser et økende problem i moderne dataforvaltning. Innbruddet skjedde opprinnelig hos markedsundersøkelsesselskapet Blauw, som brukte programvare fra leverandøren Nebu. Hackere klarte å stjele store mengder sensitiv informasjon om Odidos kunder.
Det virkelige problemet for Odido oppsto imidlertid da omfanget av de stjålne dataene ble analysert. Blant informasjonen på avveie fantes det kundedata som var flere år gamle – data som ifølge EUs personvernforordning (GDPR) for lengst skulle ha vært slettet. Dette har ført til at det nederlandske datatilsynet (Autoriteit Persoonsgegevens) nå gransker selskapet ikke bare for sikkerhetsbruddet, men primært for brudd på prinsippet om lagringsbegrensning.
"Det er et klassisk scenario i den digitale tidsalderen: Selskaper blir ikke bare straffet for at de ble hacket, men for dataene de ulovlig satt på da de ble hacket."
Hvorfor lagres data for lenge? KI som pådriver
For å forstå hvorfor et stort og ressurssterkt selskap som Odido havner i en slik situasjon, må vi se på de underliggende insentivene i dagens teknologilandskap. Vi lever i en tid hvor data ofte omtales som den nye oljen, og fremveksten av kunstig intelligens (KI) og maskinlæring har forsterket denne mentaliteten betraktelig.
For å trene opp presise KI-modeller, prediktive algoritmer for kundefrafall (churn prediction) eller avanserte anbefalingssystemer, kreves det enorme mengder historiske data. Dette skaper en farlig konflikt med GDPRs kjernebygninger:
- Dataminimering: Du skal kun samle inn det som er strengt nødvendig for formålet.
- Lagringsbegrensning: Data skal slettes eller anonymiseres så snart formålet er oppnådd.
Mange selskaper lider av en utbredt «kjekt å ha»-kultur. De lagrer kundeinformasjon på ubestemt tid i håp om at dataene en dag kan brukes til å trene opp fremtidige KI-modeller eller gi ny forretningsinnsikt. Odido-saken viser at denne strategien er en tikkende udetonert bombe.
Kan dette skje i Norge?
Det korte svaret er: Absolutt. Norske virksomheter er underlagt nøyaktig det samme lovverket gjennom EØS-avtalen. Norske telekomselskaper, banker, strømleverandører og retail-kjeder sitter på gigantiske datavarehus fylt med historiske kundedata.
I Norge har vi sett flere tilfeller der selskaper sliter med å etablere og, ikke minst, håndheve gode sletterutiner. IT-arkitekturen i mange eldre norske selskaper er kompleks, med data spredt over utallige eldre systemer (legacy systems). Selv når en kunde ber om å bli slettet, eller når den lovlige lagringstiden utløper, forblir data ofte liggende i sikkerhetskopier, testmiljøer eller hos tredjepartsleverandører – akkurat som i tilfellet med Odido og deres underleverandør Blauw.
Dersom en norsk aktør utsettes for et lignende cyberangrep, vil Datatilsynet i Norge stille de samme kritiske spørsmålene: Hvorfor hadde dere fortsatt denne informasjonen?
Datatilsynets rolle og strenge sanksjoner
Det norske Datatilsynet har ved flere anledninger understreket viktigheten av sletterutiner. Manglende sletting er ikke bare et teoretisk regelbrudd; det utgjør en reell sikkerhetsrisiko for norske borgere. Jo mer data et selskap unødvendig tviholder på, desto større blir skadepotensialet ved et uunngåelig datainnbrudd.
Sanksjonene for slike brudd kan være astronomiske. Under GDPR kan bøter for brudd på grunnleggende prinsipper, inkludert lagringsbegrensning, utgjøre opptil 20 millioner euro eller 4 % av selskapets globale årlige omsetning, avhengig av hva som er høyest. For et norsk konsern kan dette bety hundrevis av millioner kroner i bøter, i tillegg til uopprettelig skade på omdømmet og tap av kundenes tillit.
En vekker for norske ledere og KI-utviklere
Lærdommen fra Nederland bør være krystallklar for norske toppledere, teknologidirektører (CTOer) og KI-utviklere. Det er på høy tid å gjennomgå selskapets datastyring (data governance). Følgende spørsmål bør stilles i ethvert styrerom:
- Har vi full oversikt over hvilke kundedata vi deler med tredjeparter og underleverandører?
- Har vi implementert automatiserte sletterutiner som faktisk fungerer i praksis?
- Lar vi oss blende av KI-hypen til å lagre data i strid med loven?
- Har vi tekniske mekanismer for å anonymisere historiske data slik at de kan brukes til analyse uten å kompromittere personvernet?
Kunstig intelligens og stordata gir norske selskaper fantastiske muligheter for innovasjon, men det kan aldri skje på bekostning av borgernes grunnleggende personvern. Odido-skandalen er et bevis på at regningen for ulovlig datahamstring til slutt havner på bordet – og den er svært dyr.