get_queried_object(); $id = $cu->ID; ?>

Jeg – en personvernets paternalist

Dette innlegget står på trykk i Morgenbladet 16. april 2021, og er et svar til Kyrre Wathnes kommentar «Personvernentusiastene må tøyles» i samme avis 9. april.

Den 9. april fyrer gründer og evolusjonspsykolog Kyrre Wathne av en bredside mot personvernet. Det er befriende med en debattant som tar kritikken av personvernet helt ut, jeg vil si til det absurde. Men det er synd at han oppfatter «de som er opptatt av personvern» som en sær gjeng, isolert fra verden rundt. Personvernets plass i samfunnsdebatten har riktig nok endret seg de siste syv-åtte årene, og med god grunn.

Stor interesse for persondata

Det har vært mange alvorlige hendelser knyttet til personvern og informasjonssikkerhet de siste årene. Her er en kort liste:

  • I Bergen kommune ble den hemmelig adressen til en rekke personer eksponert, og førte til at noen måtte flytte fra hjemmet sitt, og til at en byråd måtte gå av.
  • Østre Toten kommune ble hacket, utsatt for utpressing og sensitive personopplysninger er dumpet på det mørke nettet.
  • Facebook utleverte persondata til selskapet Cambridge Analytica, kan ha bidratt til å påvirke utfallet av valget i USA i 2016, og Brexit i Storbritannia.
  • Helse Sør-Øst utkontrakterte driften av datasystemer til Bulgaria. Ni helseforetak fikk til sammen 7,2 millioner i overtredelsesgebyr.
  • Det britiske helsevesenet ble slått ut av Wannacry-viruset med enorme menneskelige og økonomiske konsekvenser.

De siste årene har vi behandlet saker der folk har blitt ulovlig kredittvurdert, helsejournaler har ligget åpent på nett, arbeidsgivere har gjort ulovlig innsyn i ansattes epost og mange blir nektet innsyn i egne opplysninger. Stortinget har vedtatt ny e-lov der omfanget av lovgivningen er høyst uklar.

I dag er opplysningen våre av stor interesse, og verdien av data stigende. Data brukes til markedsføring, til å personrette tilbud og tjenester, til kommersiell overvåking og til overvåking på arbeidsplassen. Det offentlige bruker data til en rekke gode, og ofte uangripelige formål, som for eksempel en bedre skoler, et bedre helsevesen, bedre trafikkavvikling og kriminalitetsbekjempelse.  At persondata analyseres og berikes med andre data, er en selvfølge i dagens samfunn.

Kritikk er av det gode, men ikke når det jukses med fakta

Nettopp derfor ble GDPR og ny personopplysningslov vedtatt i 2018, med overveldende flertall i Stortinget. Derfor ble vi, i likhet med datatilsyn i Europa, styrket. Flere undersøkelser viser at kontroll over flyten av personopplysninger bekymrer en stor andel av befolkningen. Personvern opptar styreledere, direktører, politikere, teknologer og advokater. Det skulle bare mangle. «Noen» vet i realiteten alt om oss: Sykdommer, interesser, reisemønster, familieforhold og økonomi. Derfor får brudd på regelverket så alvorlige konsekvenser, og derfor bærer det så galt av sted når Wathne forsøker å fremstille de som snakke høyt om personvern som en gjeng virkelighetsfjerne aktivister.

Wathne kritiserer oss for behandlingen av saken om Smittestopp. Kritikk er av det gode, men ikke når det jukses med fakta. Han hevder at Datatilsynet hadde da også innledningsvis understreket at Smittestopp var fullt forenlig med GDPR. Dette er ikke sant. Da forskriften som regulerte det som skulle bli til Smittestopp ble vedtatt, sa vi at en smitteapp kan, i en krisetid, være et akseptabelt tiltak for å slå tilbake pandemien og redde liv. Det har vi stått fast ved hele tiden. Da selve appen ble lansert, sto det imidlertid klart for oss at vi ikke gjorde jobben vår om vi ikke kontrollerte lovligheten av en app som kunne følge bevegelsene til alle som lastet den ned. Resultatet ble at vi nedla forbud, blant annet fordi den brøt med dataminimeringsprinsippet og formålsprinsippet i personvernforordningen.

Da vi traff beslutningen, skal vi angivelig ha latt oss presse av «det lille, men innflytelsesrike miljøet av personvernaktivister». Fakta er at vi varslet kontroll av Smittestopp samme dag som appen ble lansert. Før det hadde vi gitt innspill til FHI og departementet om hva de burde legge vekt på, men det ble ikke fulgt. Nok en gang jukser Wathne med fakta i sin iver etter å sverte personvernet. Flere av «personvernaktivistene» han refererer til, deltok dessuten i den teknologiske ekspertgruppen Helse- og omsorgsdepartementet opprettet for å kvalitetssjekke appen. Høyt kompetente teknologer har vært rådgivere i utviklingen av den nye versjonen av Smittestopp.

Det å ta lett på personvern kan få alvorlige konsekvenser

Wathne skriver at en velferdsstat knapt kan fungere uten at staten samler enorme mengder med opplysninger om oss, enten det gjelder økonomi, helse eller familieforhold. Han nevner databaser som Altinn, Pasientjournal og Nav, og påstår at de er like sårbare for datalekkasjer som Smittestopp ville vært.

At velferdsstaten ikke kunne fungert uten et godt kunnskapsgrunnlag, samlet inn om oss borgere, er så åpenbart at det knapt trengs imøtegås. Men det å ta lett på personvern kan få alvorlige konsekvenser. Sikkerhetsløsningene i de ulike systemene som nevnes, vet Wathne åpenbart ingenting om, men å sammenligne sikkerheten i det enorme NAV-systemet med løsningen i Smittestopp, blir rett og slett for dumt.

NAV har for øvrig eksponert flere hundre tusen CVer ulovlig. Det viser igjen sårbarheten selv i systemer driftet av store aktører med betydelige ressurser. Nesten morsomt blir det når Wathne gir en sammenligningen av Smittestopp mot andre tjenester: Den statlige tjenesten Yr bruker også posisjonen din, og fra personvernerklæringen deres kan det virke som de lagrer den i 30 dager hos et amerikansk selskap. Er det ikke en forskjell på å lokalisere hvor du er når du sjekker YR, og å spore bevegelser kontinuerlig, samt sende inn helseopplysninger til et sentralt register?

Kredittvurderinger til besvær

Datatilsynet har den siste tiden ilagt og varslet flere overtredelsesgebyrer for ulovlige kredittvurderinger. Ulovlige kredittvurderinger kan få store økonomiske konsekvenser, og gebyrene varierer i størrelsesordenen 100 000 kroner til 1 000 000,...

les mer

Glemmeboken som forsvant

Da jeg gikk på barne- og ungdomskolen, ja på videregående med, både sa og gjorde mine medelever og jeg ukloke, merkelige og dumme ting. For eksempel var «bråtabrann» nærmest en tradisjon hver vår, en tradisjon som nesten satt fyr på skolen. Det var slåsskamper,...

les mer

To see or not to see?

Pandemisituasjonen i Norge og verden har med sjumilssteg tvunget fram en evolusjon som har forvandlet oss til digitale samfunnsdeltakere. Møter med mennesker utenfor den nærmeste familien skjer i stor grad i et blålig lys via kamera og skjerm. Mange av oss har slutta...

les mer

Foreldrenes rolle i barnas digitale liv

Dette innlegget ble hold på NorSIS (Norsk senter for informasjonssikring) sin markering av Safer Internet Day 2021: Takk for at jeg fikk muligheten til å snakke om foreldrenes rolle som digitale grensesetter og støttespiller. Det jeg kan om dette er todelt. Jeg kan...

les mer

Algoritmer, tillit og sandkasser

Mot slutten av 1800-tallet i USA undersøkte kjemikeren Harvey Wiley innholdet i en rekke industrielt produserte matvarer. 90 prosent av honningkrukkene inneholdt ikke honning. Lønnesirup var stort sett ikke lønnesirup. Og syltetøy bestod, som de nevnte matvarene, også...

les mer

Om algoritmer og bearnaisesaus

En sausoppskrift er egentlig litt som en algoritme. Noe av det beste jeg vet er bearnaisesaus. Jeg skal kort fortelle hvilke muligheter man har til å lage en bearnaise. Vi kan kjøpe en pose fra Toro, ha i smør og melk, og koke i fem minutter. Resultatet blir helt ok....

les mer

Siste kommentarer

    Arkiv

    Følg oss:

    Ønsker du å motta e-post når nye innlegg postes på Personvernbloggen, kan du registrere din e-postadresse her.

    E-postadressen blir lagret på vår server og kun brukt til dette formålet. Om du velger å slutte å følge oss, vil e-postadressen bli slettet fra vår server. Du samtykker til denne bruken av din e-postadresse ved å registrere den her.

    Loading