Den internasjonale utviklingen går i rasende fart, og mer enn noen gang påvirkes vi av det som til enhver tid skjer i USA. Terrorlovene som kom i kjølvannet av 11. september 2001 har hatt betydning for norsk lovgivning og svært mye av utviklingen innen teknologi og sosiale medier har sitt utspring i USA. Stortinget har spesielt understreket hvor viktig det er at Datatilsynet er «på» den internasjonale utviklingen. Derfor er fire medarbeidere fra Datatilsynet nå på tur til USA for å besøke en rekke institusjoner. På fem dager skal vi blant annet besøke Facebook, Google, Microsoft, Stanford universitet, TrustE og flere personvernorganisasjoner- og myndigheter.

I dag har vi besøkt Federal Trade Commission ( FTC ) og Departement of Homeland Security. Hensikten er å lære mer om hvordan de jobber med personvern i disse viktige institusjonene og hva slags myndighet de har. I tillegg er vi interessert i et mer overordnet spørsmål: hvordan er personvernspørsmål regulert i USA?

Det er åpenbart at amerikansk personvernregulering er ganske annerledes skrudd sammen enn i Norge. Mens vi har en generell personvernlov og begrenset personvernlovgivning på hver enkelt sektor er det motsatt i USA, der mye av personvernlovgivningen er nedfelt i sektorlovgivningen.

En annen fremtredende forskjell er at personvern i privat sektor i stor grad er definert som en forbrukerrettighet. Og bordet fanger; har de gitt opplysninger om hvordan de behandler personopplysninger på hjemmesiden uten å etterleve det, faller øksen raskt.

Informasjon blir sterkt vektlagt og det er verdt å merke seg at alle offentlige etater er pålagt å ha en personvernpolicy på hjemmesiden sin. En undersøkelse vi gjennomførte for et drøyt år siden viste at offentlige etater i Norge her har en lang vei å gå.

FTC er en stor organisasjon som litt forenklet sagt er både forbruker, personvern- og konkurransemyndighet. De har tre overordnede prioriteringer på personvernområdet; transparens, brukermedvirkning/valgfrihet/informasjon og innebygd personvern. Også det norske Datatilsynet har innebygd personvern som en viktig prioritering og det er inspirerende å se at våre prioriteringer slett ikke er ulike.

FTC er en myndighet som kan vise muskler, og har skrevet ut bøter i millionklassen blant annet til Google. I tillegg jobber de svært langsiktig. De har pålagt bl.a. Facebook og Google å la sin personvernpraksis bli revidert at tredjeparter i tyve år, og sende rapport om status og framdrift til FTC hvert annet år. Dette er en arbeidsmetode vi kan lære av også i Norge.

Departement of Homeland Security (DHS) er et ektefødt barn av 11. september. Det ble opprettet i 2002, da amerikanske myndigheter i terrorbekjempelsen navn ville samle flere myndigheter med ansvar for terrorbekjempelse under samme paraply. Hensikten med besøket var ikke å studere hva de samler inn av informasjon, hvor lenge den lagres og hva den brukes til, men hvordan det interne personvernkontoret jobber for i størst mulig grad ivareta personvernet i en myndighet som lagrer svært mye svært lenge.

Vi er nok ikke klare for å friskmelde amerikansk terrorlovgivning, men det var interessant å se at DHS har en systematisk tilnærming til personvern. De la stor vekt på at det skulle gjennomføres personvernvurderinger ( Privacy Impact Assessments) før det ble iverksatt nye terrorbekjempende tiltak. De fokuserte på mye av det samme vi gjør i vårt arbeid; dataminimalisering, lagringstid og innebygd personvern.

I morgen skal vi treffe personvernorganisasjonen EPIC og staben til Al Franken; en senator som profilerer seg på personvern. Så følger Facebook, Google og Microsoft. Her treffer vi sentrale folk som jobber i selskaper som samlet sett lagrer astronomiske mengder opplysninger om norske borgere.

Har dere spørsmål dere vil vi skal stille så gi lyd!