Personvernbloggen

Dette innlegget er basert på et foredrag jeg holdt på Norsk Informasjonssikkerhetsforum (ISF) høstkonferanse 29. august, og er derfor skrevet i lett muntlig stil. Jeg vil gå gjennom de viktigste personvernhenvendelsene det siste året, og hva vi kan lære av dem, og dele noen erfaringer fra det vi så langt har gjort i forordningsarbeidet. Det har vært et travelt og innholdsrikt år, derfor vil bloggen være noe lengre enn normalt. Men jeg lover deg at den er verdt tiden din.

Helse Sør – Øst og utkontraktering av IKT-drift

Jeg vil begynne med det som kanskje var den største saken fra forrige år, nemlig Helse Sør-Øst (HSØ) og utkontraktering av IKT-driften. Det dreide seg altså om en kontrakt på 5 milliarder kroner, som omfattet ni helseforetak (sykehus) i et område der det bor 2,8 millioner mennesker. Det var et amerikansk selskap, DXC, som skulle drifte IKT-infrastrukturen i helseforetakene i HSØ.

Før man setter ut en slik kontrakt, må man gjøre en risikovurdering. Kun da har man oversikt over hvilke konsekvenser tjenesteutsettingen kan ha for sikkerhet og personvern til innbyggerne. En slik konsekvensutredning må omfatte om, og hvor en tjenesteutsetting skal skje. Dersom man vurderer å tjenesteutsette til Bulgaria, slik Helse Sør-Øst gjorde, må man utrede konsekvensen av å velge Bulgaria. I tillegg må man drive sikkerhetsledelse. Det vil si at de som bærer ansvar for beslutningen, også faktisk treffer den, og følger opp beslutningen som er fattet. I denne saken mente vi dette ikke har vært tilfelle, blant annet fordi det var uklare ansvarsforhold. Vi mener også det ikke ble gjort en god nok risikovurdering før kontrakten ble inngått og før Bulgaria ble valgt.

Derfor ila vi et overtredelsesgebyr på 800 000 kroner til alle helseforetakene, til sammen 7, 2 millioner kroner, og gebyrene ble vedtatt.

Det kom imidlertid mer ut av denne saken enn «kun» et overtredelsesgebyr.

Vurder personvernkonsekvenser

Vi tok initiativ til en dialog med blant annet Nasjonal Sikkerhetsmyndighet, Direktoratet for e-helse og Helsetilsynet for å diskutere hva man måtte gjøre av vurderinger og arbeidsmetodikk før man inngikk en kontrakt med en IKT-leverandør i et annet land. Ett enighetspunkt kan nevnes: Veldig mye, kanskje alt, kan utkontrakteres rent juridisk, dersom man gjør solide vurderinger på forhånd, og disse vurderingene gis grønt lys. For vår del er selvsagt det å gjennomføre dype utredninger av personvernkonsekvenser særlig viktig.

Men selv om man kan gjøre en lovlig tjenesteutsetting, er det til syvende og sist et politisk spørsmål, et kommersielt spørsmål og et spørsmål om tillit om man skal gjøre det. Som det stod i Aftenposten den 27. august 2018 er det mange land som ikke inngår kontrakter med Huawei, noen norske selskaper gjør det. Jeg har selvsagt ingen mening om dette, men det er interessant at spørsmålet reises.

Kanskje enda mer illustrerende var enden på Helse Sør-Øst-visa: Kontrakten ble kansellert våren 2018, og det ble besluttet ikke å utkontraktere. Styreleder Svein Gjedrem sa det slik om veien videre:

Sykehuspartner skal i dette arbeidet legge vekt på informasjonssikkerhet og personvern, risikovurderinger og gjenbruk av investeringer og planverk som er gjort så langt. Alle helseforetakene i regionen skal ta del i arbeidet som databehandlingsansvarlige.

Cambridge Analytica

En svært viktig sak vinteren og våren 2018 var skandalen knyttet til Facebook og selskapet Cambridge Analytica (CA).

Saken startet egentlig for et års tid siden, da to sveitsiske journalister publiserte artikkelen «Dataene som snudde verden på hodet». Den handler om hvordan data ble brukt til å påvirke utfallet av valget i USA og Brexit-kampanjen i Storbritannia.

De beskrev at det fantes noen interessante sammenhenger. En gruppe forskere hadde blant annet utviklet en psykometrisk modell der folk ble delt inn i kategorier som åpen, planmessig eller nevrotisk. Disse kategoriene ble koblet til de samme folkenes nettadferd: hva de hadde lest, «likt», delt osv. Eller som de skrev:

Ut fra dette bygde de profiler over hvordan folk var, og hva de sannsynligvis stemte ved valget. De som fulgte Lady Gaga, var mest sannsynlig ekstroverte, mens de som «liker» filosofi-postinger oftest er introverte. For eksempel er det noe flere homofile enn heterofile menn som «liker» hudpleie- og sminkemerket MAC. I 2012 demonstrerte Konsinki (en forsker, min anmerkning), at man med gjennomsnittlig 68 registrerte «liker»-klikk fra en Facebook-bruker kan forutsi hudfargen deres (95 % sikkert), deres oppgitte seksuelle legning (88 % sikkert) og, i USA, republikansk eller demokratisk partitilhørighet (85 % sikkert).

Man sammenholdt så all denne informasjonen med listene over de som er registrert til de republikanske primærvalgene, pluss annen tilgjengelig informasjon fra nettet, og beregner personlighetsprofiler etter den psykometriske modellen. Digitale fotavtrykk blir til virkelige mennesker med bekymringer, behov, interesser og boligadresser.

Dette ble brukt i Donald Trumps valgkamp: I Little Haiti-strøket i Miami, for eksempel, sendte Trump-teamet ut annonser til beboerne om Clinton-stiftelsens mislykkede bistandsarbeid etter jordskjelvet på Haiti, for å ta fra dem lysten til å stemme på Hillary Clinton. Et av målene var å holde potensielle Clinton-velgere (bl.a. tvilere på venstresiden, afroamerikanere og unge kvinner) borte fra valgurnene; å «hemme» disse velgergruppene.

Personlighetstest ga tilgang til persondata

Men, det verken journalistene, eller vi som har jobbet mye med sosiale medier visste, var hvordan de samlet inn dataene. Vi trodde det var basert på samtykke, og formelt var det kanskje det, men folk visste neppe hva de ga tillatelse til. De fleste dataene kom via appen «thisisyourdigitallife», en slags personlighetstest på nett. Dermed kunne Cambridge Analytica (CA) høste inn masse persondata, og Facebooks brukervilkår åpnet for at de ikke bare kunne samle data fra de som brukte appen, men også fra deres venner og venners venner. Derfor kunne CA hente inn data om opp mot 87 millioner amerikanske brukere (tallene det opereres med varierer noe). Det blir en veldig liten parentes at 17 nordmenn lastet ned appen, men har en betydelig interesse at 47 000 nordmenn kan ha blitt eksponert.

Vi kan si veldig mye om denne saken, men det har utvilsomt vært en alvorlig skrell for FB, og aksjen falt med 13 % på det meste. Cambridge Analytica er et skandalisert selskap, det har gått konkurs og granskes av Datatilsynet i Storbritannia. Og Marc Zuckerberg blir nok aldri president i USA, slik noen antydet for et år siden, men det sa vi vel om Donald Trump også.

Et læringspunkt er at mange har fått opp øynene for hva vi deler av data. Kanskje er ikke tester av typen «Hva slags hund ville du vært?» eller «Hvilket land er du egentlig innbygger av?» så innmari morsomme lenger. Og kanskje er det slik at vi nå vet litt mer om hvor mye data som finnes om oss, og hvor store datamengdene er.

Pris – innebygd personvern i praksis

Innebygd personvern er et viktig prinsipp i det nye lovverket. For å fremme dette viktige arbeidet, utlyste Datatilsynet en konkurranse for beste løsning for innebygd personvern. Prisen ble delt ut på nyåret, og vinneren var Nasjonal kjernejournal. Til inspirasjon gjengir jeg hovedpunktene i juryens begrunnelse:

«Vinneren gir klar og tydelig informasjon om løsningen til den registrerte. Vinneren har dokumentert utviklingsmetodikk som følger personvernprinsipper og veileder fra Datatilsynet, og løsningen styrker informasjonssikkerheten rundt personopplysningene. Vinneren er en nasjonal løsning som berører mange. En løsning mange i offentlig og privat sektor kan se til som et eksempel på innebygd personvern i praksis.

Vinneren understøtter den enkeltes selvbestemmelsesrett over egne opplysninger og bruken av dem. Pasienten registrerte kan se hvilke personopplysninger som er registrert om seg, hvem som har hatt tilgang til opplysningene og kan regulere tilgangen. Løsningen har lagt til rette for å ivareta viktige rettigheter som den registrerte har i personvernforordningen og i norske forskrifter. I tillegg mener juryen at løsningen gjør det enklere for virksomheten å etterleve personvernregelverket.»

Nå har vi utlyst en ny konkurranse for innebygd personvern i praksis, med frist for påmelding 1. desember. Vinneren får et flott litografi, heder og ære. Vi deler også ut en studentpris, der vinneren får 20 000 kroner.

Smartklokker for barn

Saken vi behandlet om smartklokker brukt av barn startet med at Forbrukerrådet testet sikkerheten ved smartklokker, og avdekket alvorlige svakheter. Dette var altså klokker solgt som et trygghetsprodukt. Vi har lenge beveget oss i retning av flere forbrukersaker. Vi tok derfor klokke-sakene til behandling, og stilte de samme spørsmålene som vi har gjort mange ganger før:

• Hva samles inn av personopplysninger, klassifisering av dataene?
• Hvilke risikovurdering er gjort?
• Hvilke opplysning gis til forbrukerne?
• Når slettes opplysninger?
• Overføres data til utlandet?
• Tredjeparter? Hva samles inn, deles og til hvilke formål?

Vi fikk nedslående svar. Selskapene hadde jevnt over dårlig kontroll på dataflyten, opplysningene som ble gitt til kundene eller forbrukerne var for dårlig, data ble overført til utlandet osv.

Som en følge av dette påla vi stans av behandling av data fra et gitt tidspunkt. To av selskapene tok tak og fikk ryddet opp, og pålegget ble aldri satt i kraft. Det tredje selskapet kastet kortene og sluttet å selge produktet sitt.

Hvorfor nevner jeg denne saken? Fordi vi kommer til å stille de samme spørsmålene når vi kommer på tilsyn hos norske helseforetak, på sykehus og alle andre steder det behandles persondata i helsesektoren. Det er stor risiko forbundet med å kjøpe en eller annen hyllevare og tro at alt er ok, at alt er vurdert og at sikkerheten er ivaretatt. Det er altså slett ikke tilfelle, og jeg håper selvsagt at helsesektoren, i bred forstand, gjør dette bedre.

Avviksmeldinger

En av endringene i det nye regelverket er at terskelen for å sende avviksmelding er lavere. Vi har mottatt ca. 600 avviksmeldinger så langt i år. Dette er en voldsom økning, i 2017 mottok vi 349, i 2016 mottok vi 206 og i 2015 under 100. Vi må forvente opp mot 1000 avviksmeldinger innen årets utgang.

Dette stiller oss selvsagt overfor nye utfordringer, som kan oppsummeres slik:

• Det er i seg selv utfordrende å håndtere et så stort antall saker.
• Mange skal inn i det internasjonale sporet, fordi den behandlingsansvarlige har virksomhet også i andre EU/EØS-land.
• En del av sakene som nå meldes inn, er antagelig ikke så «alvorlig» at det er nødvendig å melde det som et avvik. Grunnen er nok at mange velger å melde avvik, av frykt for å gjøre noe galt. Det er i og for seg bra, men samtidig må vi få justert praksis. Vi etablerer derfor en såkalt «Task Force» internt, for å etablere enhetlig praksis og for å informere om «nivået» for å melde avvik. I tillegg vil det komme nærmere veiledning fra Personvernrådet.

Internasjonale saker – så langt

Personvernrådet er det viktigste europeiske rådet, og skal blant annet avgjøre saker der medlemsstatene ikke blir enig. Vår status i dette viktige organet er så godt som vi kan forvente, gitt at vi ikke er medlem av EU: Vi har fullt medlemskap, uten stemmerett.

Alle saker av internasjonal karakter skal meldes inn i en database, kalt IMI. Her utpekes en ansvarlig personvernmyndighet, som har ansvar for å behandle saken, og andre land kan registrere seg som berørt myndighet, og delta i behandlingen, enten aktivt eller ved å motta informasjon.

Så langt har det kommet inn rundt 200 saker i denne databasen. Det er mot alle de «usual suspects», og går på blant annet de registrertes rettigheter. Det er naturlig nok mange avvikssaker som også er registrert her. Vi er utpekt som ledende personvernmyndighet i en sak.

Personvernombud

Mange flere virksomheter må opprette personvernombud. Så langt har 563 ombud, som representerer 787 virksomheter, registrert seg via Altinn. Av disse er 195 kommuner og fylkeskommuner, er veldig lavt antall, gitt at ordningen med personvernombud er obligatorisk for offentlige etater.

Andre typer saker – så langt

Vi har så langt ikke fått noen saker om forhåndsdrøftelser. Dette er ganske naturlig, i og med at virksomhetene før en slik begjæring må gjennomføre en bred utredning av personvernkonsekvenser, såkalt Data Protection Impact Assessement (DPIA). Vi regner imidlertid at det kun er et spørsmål om tid før de førstebegjæringene kommer inn.

Det har heller ikke kommet inn noen saker om dataportabilitet, og det er heller ikke overraskende, gitt at forordningen kun er 6 uker gammel her i Norge. Datatportabilitet er en ny rettighet som nok ikke er så kjent enda.

Vi har imidlertid mottatt ca. 10 bransjenormer til godkjenning, bl.a. fra energibransjen, finansnæringen og eiendomsmeglerne. Vi ser for oss at dette blir en vesentlig oppgave framover, og vet at mange andre er i kjømda. Før sommeren hadde vi identifisert rundt 30 bransjer som drev normarbeid, så her må vi brette opp ermene utover høsten.

Et viktig prinsipp i det nye regelverket er det såkalte ansvarsprinsippet; det er virksomhetene selv som har ansvar for å følge reglene, og legge opp prosesser knyttet til blant annet DPIA, til å ha personvernombud, jobbe etter prinsippene for innebygd personvern osv.

Veiledning

Vi har alltid hatt en åpen dørs politikk, og terskelen for å få veiledningsmøter med Datatilsynet har vært lav. Det siste halvåret har vi imidlertid strammet inn, og krevd mer forberedelse før vi avholder møter. Denne linjen vil fortsette framover. Vi tar vårt veiledningsarbeid meget alvorlig, og ser på det som helt sentralt i virksomheten vår. Men veiledning er mer enn møter; det er en god hjemmeside med gode veiledere og selvhjelpsverktøy, og en veiledningstjeneste som også kan gi skriftlig om muntlig veiledning.

Vi vil imidlertid avklare forholdet mellom kontaktmøter, veiledningsmøter og forhåndsdrøftelser, og vi vil som en del av dette utarbeide en ny plattform for veiledningsarbeidet. Vi vil praktisere ansvarsprinsippet, samtidig som vi selvsagt forstår at det er behov for veiledning. Og vi vil også «tvinge fram» gode vurderinger fra virksomheter.

Endelig er det verdt å merke seg at antall veiledningshenvendelser har økt, og vi har også opplevd en mangedobling i antall besøk på nettsiden vår. Vi lanserte også en ny hjemmeside, med oppdatert innhold og en ny struktur, i begynnelsen av juli.

Hva forventer vi så fremover? Vi vil om ikke lenge fatte vårt første vedtak etter ny lov. Vi vil i løpet av høsten gjennomføre de første tilsynene, og bl.a. sjekke om offentlige etater har opprettet personvernombud. Vi vil utarbeide en metodikk for å føre tilsyn med algoritmer og automatiserte avgjørelser, og gjennomføre et forprosjekt for å utvikle dette videre. Vi vil etablere en ny tilsynsmetodikk, og vil effektivisere veiledningsarbeidet og saksbehandlingen vår. Avviksmeldingene vil bli analysert, og vil gi oss nyttig kunnskap om hvor skoen trykker for norske virksomheter.

Kort sagt; vi lever i personvernets tidsalder, og hvis det er en gang i historien man skal jobbe i Datatilsynet, er det nettopp nå.