Personvernbloggen

Dette innlegget står på trykk i Morgenbladet 16. april 2021, og er et svar til Kyrre Wathnes kommentar «Personvernentusiastene må tøyles» i samme avis 9. april.

Den 9. april fyrer gründer og evolusjonspsykolog Kyrre Wathne av en bredside mot personvernet. Det er befriende med en debattant som tar kritikken av personvernet helt ut, jeg vil si til det absurde. Men det er synd at han oppfatter «de som er opptatt av personvern» som en sær gjeng, isolert fra verden rundt. Personvernets plass i samfunnsdebatten har riktig nok endret seg de siste syv-åtte årene, og med god grunn.

Stor interesse for persondata

Det har vært mange alvorlige hendelser knyttet til personvern og informasjonssikkerhet de siste årene. Her er en kort liste:

• I Bergen kommune ble den hemmelig adressen til en rekke personer eksponert, og førte til at noen måtte flytte fra hjemmet sitt, og til at en byråd måtte gå av.
• Østre Toten kommune ble hacket, utsatt for utpressing og sensitive personopplysninger er dumpet på det mørke nettet.
• Facebook utleverte persondata til selskapet Cambridge Analytica, kan ha bidratt til å påvirke utfallet av valget i USA i 2016, og Brexit i Storbritannia.
• Helse Sør-Øst utkontrakterte driften av datasystemer til Bulgaria. Ni helseforetak fikk til sammen 7,2 millioner i overtredelsesgebyr.
• Det britiske helsevesenet ble slått ut av Wannacry-viruset med enorme menneskelige og økonomiske konsekvenser.

De siste årene har vi behandlet saker der folk har blitt ulovlig kredittvurdert, helsejournaler har ligget åpent på nett, arbeidsgivere har gjort ulovlig innsyn i ansattes epost og mange blir nektet innsyn i egne opplysninger. Stortinget har vedtatt ny e-lov der omfanget av lovgivningen er høyst uklar.

I dag er opplysningen våre av stor interesse, og verdien av data stigende. Data brukes til markedsføring, til å personrette tilbud og tjenester, til kommersiell overvåking og til overvåking på arbeidsplassen. Det offentlige bruker data til en rekke gode, og ofte uangripelige formål, som for eksempel en bedre skoler, et bedre helsevesen, bedre trafikkavvikling og kriminalitetsbekjempelse.  At persondata analyseres og berikes med andre data, er en selvfølge i dagens samfunn.

Kritikk er av det gode, men ikke når det jukses med fakta

Nettopp derfor ble GDPR og ny personopplysningslov vedtatt i 2018, med overveldende flertall i Stortinget. Derfor ble vi, i likhet med datatilsyn i Europa, styrket. Flere undersøkelser viser at kontroll over flyten av personopplysninger bekymrer en stor andel av befolkningen. Personvern opptar styreledere, direktører, politikere, teknologer og advokater. Det skulle bare mangle. «Noen» vet i realiteten alt om oss: Sykdommer, interesser, reisemønster, familieforhold og økonomi. Derfor får brudd på regelverket så alvorlige konsekvenser, og derfor bærer det så galt av sted når Wathne forsøker å fremstille de som snakke høyt om personvern som en gjeng virkelighetsfjerne aktivister.

Wathne kritiserer oss for behandlingen av saken om Smittestopp. Kritikk er av det gode, men ikke når det jukses med fakta. Han hevder at Datatilsynet hadde da også innledningsvis understreket at Smittestopp var fullt forenlig med GDPR. Dette er ikke sant. Da forskriften som regulerte det som skulle bli til Smittestopp ble vedtatt, sa vi at en smitteapp kan, i en krisetid, være et akseptabelt tiltak for å slå tilbake pandemien og redde liv. Det har vi stått fast ved hele tiden. Da selve appen ble lansert, sto det imidlertid klart for oss at vi ikke gjorde jobben vår om vi ikke kontrollerte lovligheten av en app som kunne følge bevegelsene til alle som lastet den ned. Resultatet ble at vi nedla forbud, blant annet fordi den brøt med dataminimeringsprinsippet og formålsprinsippet i personvernforordningen.

Da vi traff beslutningen, skal vi angivelig ha latt oss presse av «det lille, men innflytelsesrike miljøet av personvernaktivister». Fakta er at vi varslet kontroll av Smittestopp samme dag som appen ble lansert. Før det hadde vi gitt innspill til FHI og departementet om hva de burde legge vekt på, men det ble ikke fulgt. Nok en gang jukser Wathne med fakta i sin iver etter å sverte personvernet. Flere av «personvernaktivistene» han refererer til, deltok dessuten i den teknologiske ekspertgruppen Helse- og omsorgsdepartementet opprettet for å kvalitetssjekke appen. Høyt kompetente teknologer har vært rådgivere i utviklingen av den nye versjonen av Smittestopp.

Det å ta lett på personvern kan få alvorlige konsekvenser

Wathne skriver at en velferdsstat knapt kan fungere uten at staten samler enorme mengder med opplysninger om oss, enten det gjelder økonomi, helse eller familieforhold. Han nevner databaser som Altinn, Pasientjournal og Nav, og påstår at de er like sårbare for datalekkasjer som Smittestopp ville vært.

At velferdsstaten ikke kunne fungert uten et godt kunnskapsgrunnlag, samlet inn om oss borgere, er så åpenbart at det knapt trengs imøtegås. Men det å ta lett på personvern kan få alvorlige konsekvenser. Sikkerhetsløsningene i de ulike systemene som nevnes, vet Wathne åpenbart ingenting om, men å sammenligne sikkerheten i det enorme NAV-systemet med løsningen i Smittestopp, blir rett og slett for dumt.

NAV har for øvrig eksponert flere hundre tusen CVer ulovlig. Det viser igjen sårbarheten selv i systemer driftet av store aktører med betydelige ressurser. Nesten morsomt blir det når Wathne gir en sammenligningen av Smittestopp mot andre tjenester: Den statlige tjenesten Yr bruker også posisjonen din, og fra personvernerklæringen deres kan det virke som de lagrer den i 30 dager hos et amerikansk selskap. Er det ikke en forskjell på å lokalisere hvor du er når du sjekker YR, og å spore bevegelser kontinuerlig, samt sende inn helseopplysninger til et sentralt register?