get_queried_object(); $id = $cu->ID; ?>

Personvernbloggen

Datatilsynets blogg om personvernspørsmål
Avatar photo

Åpning av nytt senter for informasjonssikkerhet – hvordan ivareta personvernhensyn?

av | aug 19, 2014

Fredag 15. august var jeg på den storslåtte åpningen av Center for Cyber Information Security eller CCIS, på Gjøvik. Arrangementet hadde samlet en rekke toppledere både fra forsvaret og fra offentlige og private virksomheter som jobber med sikkerhet og beredskap.

Talerlisten var lang, og det ble sagt mange flotte ord. Det var flere som påpekte at dette er første gang i Norge at man får til et så bredt samarbeid mellom private, offentlige og militære interesser. Her er det mange parter som går inn i et samarbeid, selv om de har ganske så ulike agendaer. Samtidig er det slik at alle partene har gått inn med midler eller støtte i en eller annen form, og derfor forventer de resultater.

CCIS skal levere kunnskap i form av forskning, kunnskapsforedling, -formidling, -utvikling og utdanning. Målet er å beskytte våre verdier fra trusler og angrep og forutse våre sårbarheter for å kunne avverge uønskede hendelser. Resultatene fra arbeidet skal deretter brukes for å avdekke sårbarheter i samfunnet vårt, slik at vi kan forutse og avdekke nye angrep, og øke samfunnets samlede kunnskap om digital sikkerhet og beskyttelse.

Balansegangen mellom personvern og sikkerhet er krevende, og særlig når den skal forvaltes av så mange aktører med hver sin agenda, men hvor ingen har en agenda der personvern står øverst på lista.

Flere av talerne nevnte personvern som et viktig element i CCIS sitt arbeid. Det er jeg svært glad for å høre. Likevel lurer jeg på i hvor stor grad personvern egentlig vil bli en del av CCIS sitt arbeid. Balansegangen mellom personvern og sikkerhet er krevende, og særlig når den skal forvaltes av så mange aktører med hver sin agenda, men hvor ingen har en agenda der personvern står øverst på lista. Dette var også mitt hovedbudskap i innlegget jeg holdt under åpningen, her kan du lese det:

Innlegg på åpning av CCIS-senteret på Gjøvik

Først av alt – tusen takk for invitasjonen.

Gratulerer med meget godt arbeid. Det er rett og slett imponerende å stable på beina et senter for informasjonssikkerhet av denne størrelsen, og på så kort tid.

 

Jeg er oppriktig glad for at dette har lyktes. Informasjonssikkerhet er viktigere enn noen gang (det er derfor vi er her alle sammen). Det kan også se ut til at Morten Irgens og hans hjelpere har fått til noe vi kanskje ikke er så flinke til i Norge, nemlig å få ulike aktører til å trekke sammen og samarbeide. Som et eksempel kan jeg nevne at Helse Sørøst har 3 500 datasystemer, og de færreste snakker sammen. Grunnen er at man i hvert fall ikke skulle ta i bruk samme dataløsninger som nabosykehuset eller nabokommunen. Derfor har vi havnet i den ulykkelige situasjonen vi er i i helsesektoren. Jeg er også glad fordi det i bunnen for dette prosjektet ligger en kraftig satsing på forskning og utvikling. For å være litt personlig: I min første jobb hadde jeg en mentor/fadder som fra første stund viste meg hvor viktig FoU var. Det gjaldt noe helt annet enn det vi snakker om i dag, nemlig gjeldsproblemer. Men den forskningen som ble gjort på dette området hadde en direkte følge. Det ble vedtatt en gjeldsordningslov som i årene som har fulgt har hjulpet titusenvis av norske familier ut av den fortvilte situasjonen det er å ikke kunne betale gjelda si, å kanskje ikke kunne la ungene delta på fritidsaktiviteter og gjøre andre ting vi som er så heldige å ikke ha slike problemer slipper å bekymre oss over.

 

Allikevel er dette en dag som for meg inneholder et lite MEN. Noen av dere var til stede på kick off-møtet i vinter og hørte innlegget mitt der. Da forsøkte jeg å få fram følgende budskap: Nemlig at et senter som til de grader er dominert av tunge næringslivsaktører, politiet (inkludert PST), den sivile sikkerhetsmyndigheten og forsvaret, veldig lett kan se bort fra de det sivile samfunn, borgerne, personvernet og i ytterste konsekvens menneskerettighetene. Jeg er helt sikker på at hvis jeg spør hver og en av dere om personvern er en viktig verdi, ville dere sagt ja. Og jeg ville trodd dere. OG, dere ville vært i takt med befolkningen. I en undersøkelse vi gjennomførte for under et år siden sa 46 prosent av befolkningen at de var mer opptatt av personvern enn tidligere, mens 87 prosent sa de var svært eller ganske opptatt av personvern. Kun 13 prosent sa de var lite opptatt av personvern, en nedgang på 10 prosent fra 2013.

 

Hvor ligger så spenningen mellom overvåkning og kontroll på den ene siden og personvern på den andre, og enda mer relevant i denne sammenhengen, hvor ligger spenningen mellom personvern og informasjonssikkerhet?

 

Først: hva er egentlig personvern?

  • Størst mulig grad av selvbestemmelse og kontroll med egne personopplysninger
  • Informasjon om hvilke opplysninger som er registrert
  • Innsynsrett i de samme opplysningene
  • Gode interne rutiner for håndtering av opplysninger, det vil si hva som skal lagres, når det skal slettes osv
  • Og til slutt god informasjonssikkerhet

 

Langt på vei er det altså et sammenfall mellom personvern og informasjonssikkerhet. God informasjonssikkerhet er en forutsetning for godt personvern. Og her mener jeg informasjonssikkerhet i betydningen «data kommer ikke på avveie». Derfor er det egne informasjonssikkerhetsbestemmelser i personopplysningsloven, og i 80-90 prosent av alle tilsyn vi gjennomfører sjekker vi virksomhetens informasjonssikkerhet. Det hjelper ikke med selvbestemmelse, informasjon eller sletterutiner dersom man lett kan bryte seg inn å forsyne seg med sensitive, eller for den saks skyld ikke-sensitive, opplysninger.

 

Men god informasjonssikkerhet kan i seg selv aldri være godt personvern. Det er kun dersom de andre viktige vilkår er tilstede at vi kan snakke om god informasjonssikkerhet og godt personvern i sammen.

 

La meg ta en eksempel: God informasjonssikkerhet vil i mange tilfelle innebære en form for kontrollvirksomhet. Dersom det dreier seg om en ren skallsikring er det greit, men det kan dreie seg om å skanne innhold som kommer inn til en virksomhet for å forhindre skadelig programvare, malware, spyware eller lignende, eller det kan dreie seg om overvåkning av ansatte, skanning av epost eller kartlegging av deres surfemønster. Her er personvern og informasjonssikkerhet på kollisjonskurs – i utgangspunktet.

 

God informasjonssikkerhet kan også bli brukt som en unnskyldning for å ikke ivareta de andre viktige personvernhensynene. Dette så vi særlig godt i debatten om datalagringsdirektivet. Her ble våre argumenter om at direktivet var et for stort inngrep i den enkeltes frihet nærmest fnyst av, også av representanter for etater som er tilstede her i dag. Det ble blant annet brukt som motargument at disse dataene jo ville være svært godt sikret. Dette ble også den politiske løsningen, nemlig at man påla en del informasjonssikkerhetstiltak. Resultatet vet vi alle sammen: Direktivet ble kjent ugyldig av EU-domstolen fordi det stred mot helt grunnleggende borgerrettigheter, som retten til personvern og retten til et privatliv. Domstolen sa blant annet at direktivet kunne føre til at borgerne følte seg «kontinuerlig overvåket».

 

Og her er vi inne på noe helt vesentlig. Når vi ser på alle de overvåkningstiltak som er i samfunnet i dag, med nye terrorlover, Snowden-saken og så videre, er det viktig å stille spørsmålet: Påvirker dette oss negativt? Blir vi redde for å kommunisere? Og nøyaktig det samme spørsmålet kan vi stille oss når det gjelder informasjonssikkerhetstruslene. Blir vi redde for å kommunisere? Er vi redde for å sende en e-post til psykologen vår eller til gamlekjæresten eller til en litt sær politisk organisasjon eller til organisasjonen for de med den annerledes seksuelle holdningen. Den dagen vi sier JA på disse spørsmålene, har vi mistet en veldig vesentlig samfunnsverdi.

 

Det er derfor vi hele tiden må lete etter balansen mellom personvern og overvåking, og mellom personvern og informasjonssikkerhet. Vi må sikre samfunnsverdiene og trygge samfunnet vårt, men vi må ikke skape et samfunn som er så trygt at vi mister friheten. 13 prosent av befolkningen svarte at de som en følge av Snowden-avsløringene på en eller annen måte hadde lagt bånd på seg i sin kommunikasjon. Dette er et tall vi må følge meget nøye.

 

Hvem skal ivareta de sivile, borgerlige rettighetene i dette prosjektet? Hvem skal sørge for at personvernhensyn blir ivaretatt, hvem skal sørge for at vi ikke havner i en ny datalagringsdirektiv-situasjon, der situasjonen hauses opp og det skapes skremmebilder som gjør at det vedtas direktiver og lover som blir kjent ugyldig av domstolene. Slik jeg ser det i dag er det ingen av de sentrale aktørene og bidragsyterne som har en slik rolle. Jeg har tillit til politiet, til forsvaret og de store teleselskapene. Jeg forventer at de legger vekt på personvern i sitt arbeid, og det vet jeg også at de forsøker å gjøre. Men det er ikke politiets jobb, eller kompetanseområde, å snakke varmt for personverninteressene og de borgerlige rettighetene. Det er Datatilsynet jobb, det er juridisk fakultet sin jobb, det er andre FoU-miljøer som jobber med slike interesser som må gjøre den jobben. Og de er ikke representert i dette forskningssenteret. Jeg er imidlertid veldig glad for at Høyskolen i Lillehammer for to timer siden undertegnet en samarbeidsavtale med CCIS. Det er nettopp slike miljøer som kan sørge for at de verdiene jeg her snakker om blir ivaretatt.

 

Etter hvert forskningssenter er avhengig av tillit og legitimitet for å bli lyttet til. Min agenda er som følger: Jeg mener det som kommer ut fra dette senteret vil ha større legitimitet og større gjennomslagskraft dersom også våre interesser blir lyttet til. Derfor er det svært viktig at det også kommer på plass et institutt eller en avdeling eller personer som jobber med de sivile, borgerlige sidene, heri også medregnet personvernet.

 

Når det er sagt ønsker jeg igjen gratulerer med imponerende arbeid og lykke til!