Big Data er en trend der gigantiske mengder digitale data gjøres til gjenstand for omfattende analyse. Bruken av Big Data utfordrer sentrale personvernprinsipper. Datatilsynet har laget en rapport om personvernutfordringene hvor vi også kommer med noen anbefalinger.

Big Data kan brukes til mange gode og samfunnsnyttige formål. Teknologien benyttes i stor grad til å analysere anonymiserte data for å identifisere og forutsi trender og sammenhenger. Big Data kan for eksempel brukes til å forutsi spredning av epidemier, til å oppdage alvorlige bieffekter av medisiner og til å bekjempe forurensing i storbyer. Slik bruk av anonymiserte data utfordrer i utgangspunktet ikke personvernet.

Men Big Data kan også brukes slik at det berører enkeltindivider direkte.

Vern om fundamentale personvernprinsipper viktigere enn noensinne

Bruk av Big Data er foreløpig i startgropen. Sterke krefter – både kommersielle aktører og offentlige myndigheter – omfavner Big Data. Utnyttelsen av datastrømmene – omtalt som den nye oljen – vil være viktig for å fremme konkurransekraft og innovasjon i samfunnet. Enkelte hevder at dagens personvernlovgivning må tilpasses en ny virkelighet slik at man lettere kan hente ut disse gevinstene. Datatilsynet deler ikke denne oppfatningen. I en tid der stadig flere opplysninger om oss samles inn er det viktigere enn noen gang å verne om grunnleggende personvernprinsipper. Prinsippene er vår garanti mot å bli gjort til gjenstand for profilering i stadig nye og flere sammenhenger.

Nytt syn på data

Bruk av Big Data reiser flere personvernutfordringer. De tre mest sentrale er:

1. Bruk av data til nye formål: Big Data handler i stor grad om gjenbruk av data. Dette utfordrer personvernprinsippet om at innsamlede data ikke kan brukes til formål som er uforenlige med innsamlings­formålet, med mindre den registrerte samtykker til slik bruk. Potensialet som ligger i Big Data til å hente ut verdifull kunnskap gjennom å sammenstille stadig større datasett, kan sette prinsippet om formålsbestemthet under press. I henhold til dette prinsippet må virksomheter som benytter innsamlede personopplysninger som grunnlag for prediktiv analyse, forsikre seg om at prediksjonsanalysen ikke er uforenlig med det opprinnelige innsamlingsformålet. Dette kan innebære en betydelig utfordring for kommersiell Big Data-analyse.
2. Datamaksimalisering: Big Datas forretningsmodell er selve antitesen til personvernprinsippet om dataminimalisering. Dette prinsippet skal sikre at det ikke samles inn og lagres mer data om personer enn nødvendig. Dataene skal slettes når de ikke lenger er nødvendige for formålet. Big data innebærer et nytt syn på data, der data får en verdi i seg selv. Verdien ligger i dataenes fremtidige bruksmuligheter. Et slikt syn på data påvirker virksomhetenes ønske om og motivasjon til å slette data. Verken private eller offentlige virksomheter vil ønske å slette data som på et senere tidspunkt, og sammenstilt med andre datasett, kan vise seg å bringe ny innsikt og penger. Mer utstrakt bruk av Big Data kan føre til at det fremover vil bli enda mer utfordrende for personvernmyndighetene å påse at sletteplikten overholdes.
3. Farvel anonymitet: En av de virkelig store utfordringene ved Big Data-analyse er risikoen for reidentifisering. Gjennom sammenstilling av data fra flere kilder kan det oppstå risiko for at enkeltindivider kan identifiseres fra i utgangspunktet anonyme datasett. Dette gjør anonymisering som metode for å hindre personvernulemper ved profilering og annen dataanalyse mindre virkningsfu

Anbefalinger for bruk av Big Data

Selv om Big Data reiser flere personvernutfordringer, er det mulig å benytte denne analyseformen og samtidig respektere personvernet til den enkelte. I rapporten gir vi blant annet følgende anbefalinger:

• Behandling av personopplysninger skal som hovedregel baseres på samtykke. Hvis det ikke er mulig eller ønskelig å benytte samtykke, bør opplysningene anonymiseres.
• Gode rutiner for anonymisering og avidentifisering av opplysningene er av stor betydning. Dette vil bidra til å redusere faren for reidentifisering.
• Big Data bør brukes etter prinsippene for innebygd personvern.
• Virksomheter som benytter Big Data må være åpne om hvordan de behandler personopplysningene de samler inn. Dette innebærer blant annet å gi den enkelte innsyn i hvilke beslutningskriterier (algoritmer) som ligger til grunn for utvikling av profiler, og fra hvilke kilder opplysningene er hentet.
• Den enkelte bør gis mulighet til å få utlevert alle data virksomheten besitter om én i et brukervennlig format. Dataportabilitet vil hindre at kunder låses til tjenester som har uakseptable vilkår.

Les rapporten vår Big Data – personvernprinsippene under press