En stor industri med Google, Facebook och andra globala digitala företag erbjuder i dag konsumenter tjänster i utbyte mot personliga data. Uppgifterna som samlas in säljs vidare för att användas exempelvis i marknadsföring, försäljning och politiska påverkanskampanjer. Det sker ofta helt utan att man som konsument vet om det, även om man formellt gett sitt medgivande genom att klicka i en ruta.
Trenden att använda kunders data är stark även i finansbranschen. Nya tjänster växer ständigt fram inom områden som betalningar, konsumentkrediter och kapitalförvaltning. Många av dem skapar stor kundnytta och bidrar till finanssektorns utveckling. Swedbank samarbetar gärna med företag i fintechsektorn, om förutsättningarna är rätt och data kan hanteras på ett sätt som skyddar kundernas integritet och säkerhet.
Men här finns också friktion. Medan många nya fintech-företag har en generös attityd till hur kunders data kan och bör användas, har banker ofta en försiktigare inställning.
Banker har ett långtgående etiskt och juridiskt ansvar för att skydda sina kunders integritet. Alla som jobbat på bank vet att man inte yppar något om sina kunder till utomstående. Kunderna ska känna trygghet i att deras uppgifter inte sprids. Precis som vårdpersonal inte lämnar ut patienternas journaler eller advokater inte lämnar ut uppgifter som rör deras klienter.
Banksekretess är en av hörnstenarna i vår yrkesetik och ett fundament i den lagstiftning som reglerar bankverksamhet. Villkoren för att vi ska få lämna ut kunduppgifter omges av hårda restriktioner. Till det kommer lagstiftning som reglerar hur personuppgifter får lagras och användas digitalt, GDPR.
Vi ser att personlig integritet är en av de stora samhällsfrågorna. Om vår bransch inte lär sig hantera frågan rätt riskerar kundernas förtroende att gå om intet.
Psykologen Michal Kosinski, verksam vid Stanforduniversitetet i Kalifornien och vars forskning användes under Cambridge Analytica-skandalen 2018, beskriver hur man med psykologisk profilering kan förutse vad för kommersiella och politiska budskap individer är mest mottaglig för.
Råvaran är beteendedata som vi lämnar efter oss överallt. Likes på Facebook, kvitton från mataffären och kontoutdrag från banken är utmärkta källor i händerna på dataanalytiker som vill locka oss att rösta eller konsumera på ett visst sätt.
Det är lätt att se en framtid där sofistikerad teknik används för att påverka individers val i alla livets skeden - utan att individen förstår det.
Vi vill inte medverka till en sådan utveckling. Att förvalta kundernas data med integritet och säkerhet är lika viktigt för oss som att kundernas pengar förvaltas på ett sätt som är långsiktigt hållbart.
När våra kunders personliga data används allt mer i appar och nättjänster från fintechbolag eller tredjepartsleverantörer, måste vi som bank höja säkerheten. Och med höjd säkerhet följer i vissa fall ökat krångel - åtminstone under en övergångsperiod. Kunder kan behöva identifiera sig i fler steg, och mer i detalj specificera vilka data som ska delas med tredjepartsleverantören.
Det är en stor teknisk utmaning att hålla reda på vilka medgivanden om att ta del av personuppgifter från banken, som en enskild kund kan ge olika leverantörer. I likhet med de flesta stora bankerna i Europa har Swedbank utvecklat gränssnitt, så kallade API:er, med vars hjälp vi säkerställer att företag som vill hämta data om en enskild kund, endast får tillgång till det data man har rätt till. Alltså inget annat än den data kunden själv medgivit att hen vill dela.
I nuläget använder många fintech-företag i Sverige en föråldrad metod för att hämta kunddata från banker – det kallas screen scraping. Problemet är att den tekniken inte medger de krav på säkerhet och kontroll över data som kunder, lagstiftare och vi som bank ställer. Och att tredjepartsleverantörer med den tekniken kan få tillgång till mer data, än vad som krävs för att utföra den tjänst kunden anlitar dem för.
Swedbank för sedan lång tid dialoger med tredjepartsleverantörer i Sverige. Vi bistår med teknisk dokumentation, utvecklings- och testmiljöer och annat som de kan behöva för att migrera till säkra API-baserade lösningar. Och vi vet att API:erna fungerar bra. Ändå kan vi vara rätt säkra på att vi kommer att få kritik från leverantörer som ligger kvar med de föråldrade metoderna när vi höjer säkerheten. Det finns nog de som kan komma att göra gällande att vi vill hindra dem och begränsa konkurrensen.
Det är fel.
Vi vill vara med och driva fram bättre och mer lättanvända digitala tjänster producerade av tredjepartsleverantörer. Vi kommer dock alltid att stå på våra kunders sida i den utvecklingen. Och vi kommer alltid sätta kundernas integritet främst.
Lotta Lovén
CIO, chef Digital Banking & IT, Swedbank
