Adferdsøkonomi & compliance: Kan vi dytte mer for å øke grad av etterlevelse?

Hva er det som gjør at vi i praksis etterlever regler? Kan reglene utformes slik at det er større sannsynlighet for å oppnå faktisk etterlevelse?

Eksterne[i] og interne[ii] regler og krav kan være sammensatte og kompliserte å forstå. Selv om de fleste ansatte er godt opplært i å etterleve reglene, ser vi at enkelte likevel ikke handler rasjonelt eller riktig når de står overfor handlingsalternativer i en hektisk hverdag.

Artikkelforfatterne har begge arbeidet med implementering av endringer i personvernkravene[iii] som trådte i kraft medio 2018. Vi erfarte at organisasjonene jevnt over var positive til begrunnelsen for spesifisering av kravene og la ned mye arbeid i å sikre etterlevelse, men at det var minst to forhold som ble trukket frem som vanskelige. Det ene var å faktisk forstå de komplekse reglene. Den andre hvordan organisasjonene kan sikre etterlevelse under en allerede hektisk arbeidsdag. Disse observasjonene gjorde oss nysgjerrige på fagfeltet adferdsøkonomi[iv] og om det er mulig å hente inspirasjon herfra som kan sikre mer effektiv og faktisk etterlevelse?

I denne artikkelen vil vi ta dere med gjennom noen av våre innledende refleksjoner[v], og håper det kan skape nysgjerrighet, debatt og forskning rundt bruk av metoden i compliance-arbeidet fremover.

Hva er adferdsøkonomi?

Adferdsøkonomien har sin opprinnelse i B.F. Skinners forskning og ble videreforedlet av nobelprisvinner i økonomi Daniel Kahnemann. Prinsippene er gjengitt i bestselgeren hans «Thinking Fast and Slow» som kom ut i 2011. Boken oppsummerer hans forskning og kan gi verdifull innsikt og forståelse av prinsippene som ligger bak adferdsøkonomisk tenkning, men ga oss ikke så mange praktiske råd og tips som er direkte anvendelige i vårt daglige arbeid. Vi har derfor søkt praktisk hjelp i to bøker utgitt av to rådgivere innenfor dette området, Morten Münster[vi] og Jon Ivar Johansen[vii].

Johansen slår i sin bok fast at 90 % av alle endringer mislykkes, selv om 90 % av oss tror vi vil lykkes. Dette er nedslående tall og mange vil nok ha vansker med å akseptere denne påstanden. Gjennom nysgjerrige søken i adferdsteorien har vi lært at vi må akseptere at hjernen vår er skrudd sammen slik at vi ønsker å opprettholde status slik den er akkurat nå. Vaner og «slik har vi alltid gjort det» ligger i ryggraden vår, enten vi vil innrømme det eller ikke.

Hjernen synes ifølge Johansen det er enklest for oss å gå på autopilot[viii] da dette gir en følelse av kontroll og kjennes trygt. Endringer derimot krever energi og kjennes utrygt. Gjennom autopiloten tar vi for eksempel raske valg i trafikken basert på innøvde vaner og det vi har erfart som bilfører. På jobb og hjemme gir vi raske svar på spørsmål vi blir stilt basert på hva vi allerede vet om et tema.  Autopiloten kjennetegnes av at den automatisk og raskt kommer til en konklusjon «with little or no effort and sense of voluntary control» (thinking fast)[ix] samt at den lar seg friste av umiddelbar belønning og unngår ubehag. Den automatiserer og lager og handler basert på vaner.

Men betyr dette at vi rett og slett kan om-kode autopiloten til å gjøre de riktige tingene automatisk?

For å gjennomføre endringer og løse kompliserte oppgaver krever det at vi mobiliserer selvkontrollen[x].  Selvkontrollen kommer på banen når vi gjennomfører tyngre tankearbeid eller øver inn nye vaner eller ferdigheter og assosieres med «subjective experience of agency, choice, and concentration» (thinking slow)[xi]. Selvkontrollen er reflekterende og søker å motstå umiddelbar belønning og fristelser og setter langsiktige mål, samt lager planer for å oppnå langsiktige belønninger.

Mange har nok kjent på at for å få til «den der kroppen til sommersesongen som vi drømmer om hvert år» er det egentlig ikke så mye mer enn sunn mat og god trening som skal til. Likevel står vi der før hver sommer og lurer på hvor tiden til å trene ble av. Hverdagen går sin gang og så lenge trening og sunn mat ikke er en del av vår «autopilot» og vi heller ikke har klart å mobilisere selvkontrollen, vil vi mest sannsynligvis ikke oppnå noe forandring i år heller.

---

En dytt i riktig retning

Så hvordan kan vi få selvkontrollen til å hjelpe oss med å endre vaner eller iverksette nødvendige tiltak, dersom vi egentlig ikke er motivert eller har tid? Her har forskerne etter hvert kommet frem til at vi kan designe såkalte dyttere (fra det engelske «nudges»)[xii] som hjelper oss med å nå våre mål, når vi synes det er mer behagelig å «fortsette som før» og la autopiloten styre.

Ved å designe smarte dyttere som gruppen eller individet tar eierskap til, vil vi kunne arbeide mer effektivt og sikre høyere grad av måloppnåelse. Münster gjentar også flere ganger i sin bok at man må ta utgangspunkt i det virkelige liv og ikke designe noe vi tror vil fungere sett fra skrivebordet[xiii].

Han trekker blant annet frem et eksempel fra et selskap hvor avfallssortering i produktlinjen var svært viktig. Selskapet hadde laget en Standard Operating Procedure (SOP) for hvordan sorteringen skulle gjøres, herunder hvilket avfall som skulle i hvilken beholder. Prosedyren hadde blitt omskrevet hele 18 ganger, men uten synlige forbedringer i selve gjennomføringen eller faktisk etterlevelse av prosedyren.  SOPen ble også kommunisert og medarbeiderne ble trent i hvordan sorteringen skal gjøres, men dette hadde fortsatt ikke merkbar effekt. Münster mener at en slik prosedyre er laget for selvkontrollen og ikke for autopiloten, siden man i eksemplet satt ved pulten og designet den uten å sjekke hva som fungerer i det virkelige livet.

Etter en vurdering av adferden ved samlebåndet gjorde man noe så enkelt som å sette bilder av de forskjellige typene av avfall på de ulike beholderne for å gjøre sorteringen enklere. Dette hadde mye større effekt enn alle omskrivninger av SOPene! Det kan høres banalt ut, men en liten dytt i riktig retning kan noen ganger føre til større effekt enn hundrevis av timer med trening og lange dokumenter.[xiv]

---

Relevante dyttere i compliance arbeidet

 Ifølge Johansen kan vi dele dyttere inn i tre hovedkategorier[xv]:

1. Individuelle dyttere som er det du selv gjør for å påvirke egne forventninger, ubehag, stress og dermed unngå at du havner i komfortfellen og fortsetter på autopilot.
2. Sosiale dyttere som er andres forventninger til deg, eksempelvis pasientgrupper som hjelper deg med å ta sunne valg etter en operasjon, sprint møter hver morgen under utvikling av nytt produkt eller deltakelse i lederprogram.
3. Systemer og tekniske dyttere som kan være lover og regler, mindre tallerkener slik at du spiser mindre, SMS varsel fra frisøren, smartklokker som måler aktivitet, eller innebygget personvern.

Alle disse er relevante å vurdere nærmere ved tilrettelegging av tiltak som skal sikre etterlevelse. Nedenfor skal vi se nærmere på «innebygget personvern» for å illustrere hvordan et system eller teknisk dytter kan være relevant ved etterlevelse av personvernregler.

Vi vil imidlertid først understreke at bruk av dyttere kan ha en etisk side som alltid bør vurderes, slik at ingen føler at de blir lurt til å gjøre noe som de oppfatter som uetisk eller uforsvarlig. Vi mener at så lenge man er åpen om virkemidlene, inkluderer de man ønsker å dytte i valg av akseptable dyttere og samtidig sørger for en etisk etterprøving, er det viktig og riktig å ta i bruk dette virkemiddelet for mer effektiv implementering av krav.

---

Innebygget personvern som eksempel på system eller tekniske dytter

Innebygd personvern har vokst frem gjennom beste praksis[xvi] og lovgiver har i forbindelse med de nye personvernreglene vedtatt prinsippet som system eller teknisk dytter. Reglen[xvii] er laget slik at den skal sørge for at vi tar hensyn til personvernet i alle utviklingsfaser av systemer, prosesser eller løsninger.

Målet er at informasjonssystemene skal oppfylle de sentrale personvernprinsippene og ivareta de registrertes rettigheter. Et innebygd personvern kan også sies å være en såkalt sosial dytter da brukeren og offentligheten forventer personvern i tillegg til brukervennlighet og tilgjengelighet.

Et innebygd personvern har syv sentrale elementer[xviii]:

1. Forebygge fremfor å reparere.
2. Personvern som standardinnstilling istedenfor at bruker selv må sikre at innstillingene slås på.
3. Personvernet tenkes inn i designet gjennom funksjonalitetsbeskrivelse, arkitektur og forretningspraksis.
4. Full personvernfunksjonalitet fra start istedenfor å gjøre endringer etter at systemet er ferdig.
5. Sikkerhetsvurderinger er en del av løsningen og vurderingene fra start til slutt
6. Åpenhet om hvordan løsningen fungerer og hvordan den registrerte skal kunne ivareta sine rettigheter
7. Personvern gis høy prioritet.

I tillegg til å ivareta personvernet sørger prinsippene, sjekklister og veiledninger fra Datatilsynet, ICO med flere andre tilsynsmyndigheter at vi får et robust sluttprodukt og hjelp til å ta de riktige valg og beslutninger underveis i utviklingen. Kravene er imidlertid ikke entydige og virksomhetene bør nok designe egne interne mer spesifikke dyttere. Dette kan være rutiner og sjekklister som bidrar til at virksomheten automatisk og mer effektivt gjør de riktige og viktige vurderingene, så som implementering av dataorienterte og/eller prosessorienterte designkrav.

Med referanse til avfallshåndteringseksempelet ovenfor er det også viktig at de som skal gjennomføre handlingen er med å designe rutinene og sjekklistene slik at de er tilpasset deres daglige gjøremål og ikke kun blir en skrivebordsøvelse.

Dataorienterte designkrav handler om å:

• Minimere og begrense antall personopplysninger («select before you collect»)
• Gjemme og skjule (kryptering, pseudonymisering mv)
• Separere (dele opp lagring slik at man for eksempel unngår å lage komplette profiler)
• Aggregere data (lage statistikk istedenfor individuell informasjon)
• Implementere standardinnstillinger som ivaretar personvernet (for eksempel velge om man vil dele istedenfor å måtte skru av mulighet til deling av informasjon med andre applikasjoner)

Prosessorienterte designkrav handler om å:

• Gi god informasjon (standardmaler, ikoner, bilder, symboler) som gjør det enkelt å forstå hva man må selv må gjøre.
• Gi den registrerte mulighet til å kontrollere egne opplysninger via en sikker nettside/app.
• Beskrive/vise hvordan regelverket håndheves og dokumenteres

Adferden eller handlingen man ønsker at skal skje må være enkelt og tydelig beskrevet og/eller implementert i systemet eller prosessen slik at det ikke er tvil om hva som forventes av den enkelte. Det er derfor kanskje bedre med en one-pager med ti kulepunkter enn et memo på ti sider?

Nedenfor vil vi illustrere dette med to konkrete eksempler:

Feilsending av e-post til feil mottakere blir nevnt som avvik som er meldt til Datatilsynet i 2018[xix]. Ett slikt brudd er normalt mer kritisk dersom det sendes til en ekstern mottaker, dvs. utenfor egen virksomhet. Det finnes imidlertid en innstilling i Outlook som gjør at brukeren får opp et lite varsel hver gang vedkommende skriver inn en e-postmottaker som er utenfor egen organisasjon. Dette vil ikke direkte hindre vedkommende i å sende e-posten, men vil kanskje være en dytter som gjør at man reagerer på at det ikke er denne mottaker mailen skulle sendes til?

Et annet eksempel er tekniske dyttere som kan hjelpe oss slik at vi slipper å huske hele informasjonssikkerhetspolicyen og kravene til klassifisering av informasjon. Azure protection er et kjent eksempel fra Microsoft som gjør det mulig å legge inn virksomhetens klassifisering direkte i et dokument eller e-post og dokumentet blir automatisk beskyttet. Dvs. at hvis du har valgt å merke et dokument som «konfidensielt» og sender til en ekstern mottaker, vil han eller hun for eksempel ikke kunne åpne dokumentet, med mindre du spesifikt har gitt tilgang til det på forhånd.

---

Vil adferdsøkonomi kunne revolusjonere compliance arbeidet?

En dytt i riktig retning er et adferdsøkonomisk prinsipp som begynner å bli mer vanlig også i det norske samfunnet. Innebygd personvern er et eksempel på en tilrettelegging av reglene, slik at virksomhetene må implementere tekniske og organisatoriske tiltak (interne regler) som automatisk sikrer etterlevelse av personvernreglene. Finanstilsynet i Norge har for eksempel tatt dette i bruk i pålegget de ga kredittkortselskapene om innholdet i faktura som sendes til kundene.

Kredittkortselskapet anmodes om å skrive hele beløpet kunden skylder på fakturaen og ikke kun minimumsbeløpet som tidligere. Denne grunninnstillingen gjør det lettere for kunden å ha oversikt over total gjeld.

Vi tror også at gjennom å bruke adferdsøkonomiske prinsipper i compliancearbeidet gjennom å forenkle de interne prosessene og prosedyrene, har vi større sjanse for å oppnå faktisk etterlevelse. Ønsket adferd og faktisk etterlevelse kan vi oppnå ved å designe kontroller (dyttere) som virker i praksis og ikke kun blir «skrivebordsregler». Dersom bekreftelsesfunksjonene[xx] plasserer eierskap til å gjennomføre adferdsendringen hos enkeltindividet/gruppen i den delen av organisasjonen man ønsker å gjennomføre endringen i, er det større sannsynlighet for at vi unngår skrivebordsøvelser og at enkeltindividet og/eller organisasjonen faktisk gjennomfører den nødvendige endringen. Det er enkeltindividene som sitter med nøkkelen til å påpeke de faktiske hindringene, komme med forslag til dyttere som virker og som ved å delta i utarbeidelsen motiveres til å gjennomføre tiltakene. Ikke så ulikt det vi ellers opplever under forankring av revisjonsfunn, men her rettet mot adferdsendringer som påvirker gjentatt faktisk etterlevelse over tid. Bruk av dyttere handler med andre ord om å tilrettelegge for adferd som er ønsket og ansett som riktig, men altså vanskelig å få til i praksis.