De enorme datamengdene handler om deg og meg

Nylig fikk jeg tilsendt en oppsummering av året 2021 fra Google Timeline. Her er min dagslogg fra 1. mars: Jeg dro hjemmefra kl. 06:58, tok en blodprøve kl. 07:50, var i Datatilsynets gamle kontor kl. 08:13, i våre nye lokaler kl. 08:45, handlet på Match kl. 17:03, Vitus Apotek kl. 17:18, og kom hjem kl. 18:15.

Kort sagt: Google visste alt jeg gjorde denne dagen.

Men Google er ikke alene om å samle data. I skolen samles det inn store mengder data om elevene. I helsesektoren ligger våre mest sensitive data lagret, og politiet og etterretningen har vide fullmakter til å samle inn data om oss vanlige borgere. Slik kunne jeg fortsatt, sektor for sektor. Denne enorme datamengden handler om deg og meg, om vanene våre, sykdommene våre, interessene våre, om hva vi spiser og når vi tar blodprøver, altså hvordan vi lever livene våre.

Noe måtte gjøres, og i 2018 kom nye regler fra Brussel.

GDPR og domstolsavgjørelser

Personvernforordningen GDPR var et tidsskille i personvernets historie. Nye plikter, høyere bøter, bedre samarbeid på tvers av land og bedre rettigheter, er noen stikkord. Plutselig handlet personvern om tillit, troverdighet, forretningsutvikling og respekt for personen bak opplysningene. Vi ser også at GDPR virker. Det er skrevet ut gebyrer på hundrevis av millioner mot selskaper som bryter regelverket. Virksomhetene plikter å melde brudd på personopplysningssikkerheten, og Datatilsynet mottok over 2 300 slike meldinger i fjor. Flere forbrukere klager inn til oss, og sakte, men sikkert, ser vi at personvernvurderingene i nye lovforslag blir bedre.

Også domstolene har spilt en viktig rolle. Sommeren 2020 ble avtalen om overføring av data til USA kjent ugyldig av EU-domstolen i Schrems II–dommen. Grunnen var at overvåkningslovene i USA er så omfattende at europeernes data ikke er trygge over dammen. Domstolen satte også ned foten for datalagringsdirektivet, og innførte også en rett til sletting av søketreff som ga et skjevt bilde av virkeligheten. Nylig kom et lovforslag som styrket barns rettigheter overfor foreldre som vil dele bilder av dem på nett.

Nå er selvsagt ikke utviklingen på lovgivningsfronten entydig positiv. Vi har fått en rekke nye overvåkningsbestemmelser de siste ti årene, blant annet er det innført dataavlesing og det er fremmet forslag om masseovervåking av vår internettbruk. Men det positive er at debatten om personvern nå favner bredt.

Nå taler Tekna, Advokatforeningen og andre personvernets sak. Advarslene mot et overvåkingssamfunn kommer også fra kanskje noe uventet hold. Riksadvokaten skrev i sin høringsuttalelse til e-lov: «For vidtgående kontrollregimer vil før eller siden utfordre det alminnelige publikums tillit til kontrollørene og de systemene de representerer».

Avhengighet av amerikanske selskaper

I 2010 dominerte energisektoren i oversikten over verdens mest verdifulle selskapet. Tolv år etter kjemper de amerikanske bigtech-selskapene Apple, Microsoft, Alphabet og Amazon om pallplassen. Da Schrems II–avgjørelsen kom, ble europeiske virksomheter grepet av panikk, og avslørte hvor totalt avhengig vi har gjort oss av de amerikanske gigantene. Det er trist at ikke europeiske bedrifter står klare til å ta de markedsposisjonene gigantene nå mister. Naivt? Ja, kanskje, men veldig overrasket kan næringslivet neppe ha blitt. 2013 var en oppvåkning for mange, da Edward Snowdon avslørte massiv overvåkning av europeiske borgere. Det er de samme overvåkningsprogrammene som gjorde at EU-domstolen satte foten ned for ukritisk overføring av data til USA. Her har noen sovet i timen.

Og hva med forbrukerne? Kan vi ikke la være å bruke Facebook og Google? Nei, de har blitt en sentral del av livene våre og gir oss underholdende og nyttige tjenester. Jeg kjører bil, selv om det forurenser, og bilturen til hytta er det mest risikable jeg gjør. Jeg drikker øl og vin, selv om det er helseskadelig. Men trafikk og alkohol er strengt regulert, for å gjøre faren og skaden minst mulig. Det er slik vi må tenke overfor bigtech også.

Personvern og sikkerhet

I januar 2021 ble Østre Toten kommune utsatt for et stort dataangrep. Personopplysninger ble dumpet på det mørke nettet. Opprydningsarbeidet har vært enormt ressurskrevende. Stortinget har blitt utsatt for to fiendtlige angrep. Nylig ble også Nortura og Amedia rammet. Hva kan vi lære av disse sakene, for å redusere sannsynligheten for at man selv blir rammet? Et stikkord er risikovurderinger, og at man tetter de hullene man finner slik at løsningene og infrastrukturen der personopplysningene behandler, blir mest mulig robuste.

I 2011 påpekte vi store svakheter med sikkerheten i Østre Toten kommune, men lite ble gjort. Stortinget hadde selv avdekket svakheter i egne løsninger, og hadde besluttet å innføre tofaktorautentisering, men hackerne slo til før det ble gjort.

Det er lett å være etterpåklok, men det er mange norske bedrifter som ikke tar datasikkerhet på tilstrekkelig alvor. Konsekvensene kan bli fatale.

Og hva nå?

Personvernet vil garantert forandre seg mye de neste ti årene. Politikerne må regulere teknologigigantene, og Norge må gå foran. Vi må tørre å si nei til overvåkningsbasert markedsføring. De kollektive konsekvensene av overvåkning og sporing må bli en like naturlig del av samtalen som de kollektive konsekvensene av global oppvarming.

Økt diskriminering og overvåking rammer ofte de svakeste og utsatte gruppene. Lovgiver må utrede konsekvenser for personvernet, ikke som en papirøvelse, men i erkjennelsen av at det å unnlate kan få store konsekvenser for borgerne.

Og til slutt: Vi må fortsette å snakke sammen, vi som skal håndheve regelverket og de som potensielt kan bryte det. Personvern og innovasjon må gå hånd i hånd. Datatilsynets regulatoriske sandkasse må få permanent finansiering, og kanskje kan vi sammen skape et nytt, personvernvennlig Google. På norsk.

Denne teksten ble først publisert i DN.

Datatilsynet har besluttet å ikke opprette en egen side på Facebook fordi usikkerheten til hvordan Facebook bruker disse dataene er for stor. I et innlegg den 13. oktober uttrykker Facebook overraskelse over at de ikke fikk bidra inn i vår vurdering og komme med utfyllende informasjon.

Her vil jeg forklare hvorfor vi både sa nei til Facebook, og til dialog under arbeidet vårt.

Facebook vet det meste om brukerne. De kjenner våre vaner, politiske oppfatning og hva vi spiser til middag. Med en Facebook-side ville vi bidratt til å fôre Facebook med informasjon om de som besøkte siden vår. Et «liker»-trykk på en artikkel der vi uttrykte skepsis til et nytt overvåkningstiltak, ville blitt en del av brukerens digitale tvilling på Facebook. Vi stilte oss dette spørsmålet: Kan vi forklare besøkende på vår side hva Facebook brukte opplysningene deres til? Svaret på spørsmålet er ganske enkelt nei. Vi ville heller ikke klart å oppfylle vilkårene i personvernforordningen om å ha kontroll på dataflyten.

Burde vi hatt dialog med Facebook som del av vår vurdering? For oss var det viktig å gjennomføre vurderingen som en hvilken som helst annen virksomhet. Vi tok samme utgangspunkt som en liten kommune, eller nettbutikken Garn & Tråd. Vi ønsket ikke særbehandling. Men Facebook er en lukket bok. De deltar sjelden i den offentlig debatten, inngår ikke særavtaler med enkeltvirksomheter, og opererer etter prinsippet «aksepter vilkårene, eller kom deg ut».

Facebook påpeker at de gir brukerne kontroll over eget innhold. Som alltid sier de at de ikke «selger personlig identifiserte data til tredjepartsaktører». Nei, Facebook vil helst ha dataene selv – men de tar betalt for at andre kan utnytte dem. Om min profil har navnet mitt øverst, er irrelevant. En analyse av min profil viser at Skeid er mitt favorittlag, og at jeg har en Maine Coon-katt. Det er mulig jeg tar feil, men jeg er trolig den eneste i verden som har disse to interessene. To opplysninger er altså nok til å identifisere hvem jeg er, selv uten navnet mitt som identifikator. I gjennomsnitt kan 68 registrerte «liker»-klikk fra en Facebook-bruker forutsi hudfargen deres med 95 % sikkerhet, og deres oppgitte seksuelle legning med 88 % sikkerhet.

Å fortsette å skjule seg bak frasen om at Facebook ikke selger data, er meningsløs.

Når det gjelder de andre tiltakene de ramser opp, er det snakk om hvordan brukerne kan kontrollere og få tilgang til egne data – men bare til en viss grad. Vurderingen vår er imidlertid mye videre. Vår konklusjon er at vi ikke vet hva Facebook bruker dataene til. Her er selskapet veldig vagt, og sier på sedvanlig vis at de etterlever regelverket, og at de har gjort alle sine avtaler tilgjengelig.

I vår vurdering har vi også lagt betydelig vekt på at vår tilstedeværelse på Facebook kan bidra til å legitimere lovligheten av Facebook. Omdømme har også vært sentralt. Facebook var dypt involvert i Cambridge Analytica-skandalen, og nylig sto en varsler fram og fortalte om svært kritikkverdige forhold i selskapet. Uten å ta stilling til riktigheten i sistnevnte påstander, er jeg glad for at Datatilsynet i dag ikke har en Facebook-side.

Facebook har nå vist en åpen linje ved å ty til noe så sjeldent som å skrive en kronikk. Jeg håper de fortsetter å vise samme åpenhet og svarer på disse spørsmålene:

– Hva bruker Facebook dataene som samles inn via en Facebook-side til? Hvordan profileres for eksempel ungdom som trykker «liker» på Helse Norges side der unge kan bestille kondomer?

– Helt konkret: Hvordan gir Facebook forståelig og meningsfull informasjon om hvordan disse opplysningene brukes?

– Hvordan vil Facebook bidra til at norske virksomheter kan oppfylle kravene i regelverket om å forstå og beskrive behandlingen?

– Hvordan er kravet om innebygd personvern ivaretatt av Facebook?

Vi møter gjerne Facebook til diskusjon. Vi vil stille dem spørsmålene over. Men mange vil ha betydelig interesse for svaret, som jeg håper de offentliggjør.

Det kan være vanskelig å navigere i de mange hundre arrangementene som går av stabelen, mange i parallell, derfor denne guiden til Arendalsuka. Det er viktig å velge riktig, og det å velge riktig i denne sammenhengen er selvsagt å stalke oss i Datatilsynet under uken i august. Men vær obs, denne bloggen kommer med en advarsel: Ting endrer seg fort, nye deltagere kan komme til, innretningen på debattene kan endres og nye kan komme til. Sjekk gjerne linkene under hver programpost for siste, oppdaterte informasjon.

Mandag 16. august: Digitalt demokrati: Smittefritt, men er det for alle?

Data påvirker og data flytter makt, data kan bidra til å avgjøre valg og stenge folk ute fra viktige plattformer. Men har åpenheten en pris, og er den for alle? Denne debatten er den første vi deltar i på årets Arendalsuke, og beskrives slik av arrangøren:

Digitaliseringen har vært avgjørende for å holde Norge i gang under koronapandemien, men med på lasset får vi Facebook-annonser, hacking og konspirasjoner. Pandemien gjør at husbesøk og folkemøter i valgkampen erstattes av innlegg på sosiale medier og samlinger på Teams. Bystyremøter strømmes på Facebook, og innbyggerne kan gi tilbakemeldinger i kommentarfeltet. Men klarer vi å nå alle på de nye arenaene?

Jeg deltar sammen med blant annet direktør Tore Tennøe i Teknologirådet.

Tid: 16.08, kl. 14.00-15.00 | Sted: Demokrativerkstedet i Arendal |Arrangør: Sopra Steria

Lenke til arrangement: https://arendalsuka.no/event/user-view/16611

Tirsdag 17. august: Personvernet slår tilbake

Personvernet er under stadig press, både fra kommersielle aktører og offentlige etater. Nå er tiden inne til å diskutere personvernets kår, og om vi nå endelig går inn i personvernets tidsalder. 

Bakgrunnen for denne diskusjonen er blant annet viktige avgjørelser mot de store teknologiselskapene, søksmål mot Facebook etter oppkjøpet av WhatsApp, viktige dommer fra EMD og EU-domstolen knyttet til overvåkning og Schrems-dommen, som har sendt personvern-sjokkbølger gjennom Europa og USA. I Norge har vi varslet et gebyr på 100 mill. til Grindr.

Arrangementets første panel består av Adele Matheson (NIM), Karsten Friis (NUPI) og undertegnede, og tar for seg den statlige overvåkingen i samfunnet. Det andre panelet tar for seg den kommersielle overvåkingen, og består av Ingrid Lise Blyverket (Forbrukerrådet), Vivi Rignes Wilhelmsen (Forsvarets Høyskole). Jeg deltar også i dette panelet. Moderator for arrangementet er Martin Gundersen i NRKBeta. 

Tid: 17. august kl. 8.00-9.00 | Sted: Samfunnsteltet – jubileumsscene | Arrangør: Datatilsynet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15452

Tirsdag 17. august: Digitalisering i skolen – har vi glemt personvernet?

Personvern i skolen har vært et viktig tema for Datatilsynet i mange år. Nå har Bouvet gjennomført en undersøkelse om personvernets kår i skolesektoren. De beskrives arrangementet slik:

Skolen har blitt kræsj-digitalisert under koronaen. Det svømmer over av nye digitale læringsverktøy og mange skoler har utvist en fantastisk kreativitet. Samtidig er Bouvet bekymret for personvernet til lærere og barn. Derfor har vi gjort en omfattende undersøkelse om status på personvern i skolen. På bakgrunn av undersøkelsen tar vi debatten om konsekvensene av kræsj-digitaliseringen av skolen.

• Er det på tide å dra i bremsen for å sikre at ikke personopplysninger om elever blir misbrukt, eller er det noen skoler som er for strenge i møte med nye apper og digitale tjenester? 
• Må lærerutdanning, skoleforvaltningen og metodefriheten i skolen endres som en konsekvens av digitaliseringen?

Blant deltagerne finner vi Simen Sommerfeldt, teknologidirektør i Bouvet, Tonje Brenna, Stortingsrepresentant fra Arbeiderpartiet og Steffen Handal, leder i Utdanningsforbundet. Jeg deltar fra Datatilsynet.

Tid: Tirsdag 17/8 2021 10:00 – 11:00 | Sted: Castelle | Arrangør: Bouvet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15713

Tirsdag 17. august: Maktkamp og samarbeid i kampen mot klimaendringene

Personopplysninger brukes i dag, litt forenklet, til alt. At vi mottar reklame basert på nettaktiviteten vår er gammelt nytt, men tema for denne diskusjonen bringer oss inn på et nytt felt: Hvordan bruke personopplysninger for å bekjempe klimaendringer? Arrangementet beskrives slik:

Hva kjennetegner de ledende selskapene i den grønne omstillingen? Hva er folkets fotavtrykk? Hva tenker forbrukerne om kommunikasjon og markedsføring av bærekraft? Hvordan ivareta personvern når vi spør om dine data for å ivareta miljøvern? Hvilken rolle og virkemidler har kommunene i å motivere innbyggerne til adferdsendring? 

Rolf Jarle Brøske og Jan-Frode Janson fra Sparebank1 SMN, Anne Kathrine Slungård fra Forbrukerrådet, Børge Brende, President i World Economic Forum, Gunelie Winum fra Ducky og flere holder innlegg for å svare på spørsmålene under arrangementet, der jeg deltar fra Datatilsynet

Tid: 17. august kl. 11.15 – 12.00 | Sted: Arendal kino | Arrangør: Sparebank1 SMN

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16693

Tirsdag 17. august: Kunstig intelligens på arbeidsplassen

Kunstig intelligens er på full fart inn i arbeidslivet. Ny teknologi kan gi både økt verdiskaping og nye arbeidsplasser. Samtidig ser vi eksempler på at kunstig intelligens har ført til diskriminering av minoriteter eller blir brukt til å overvåke de ansatte. Hvordan kan kunstig intelligens bli et gode for alle – og ikke oppleves som en trussel? Hvordan legger vi til rette for god utnyttelse av ny teknologi, samtidig som vi ivaretar sosiale konsekvenser? Hvordan kan de ansatte påvirke utviklingen, og hvordan vil EUs nye regulering av kunstig intelligens påvirke arbeidslivet?

Kari Laumann, prosjektleder for vår regulatoriske sandkasse for kunstig intelligens, deltar fra Datatilsynet.

Tid: 17. august kl. 18.00 – 19.00 | Sted: Clarion Hotel Tyriholmen | Arrangør: Negotia, Finansforbundet og NITO

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16206

Onsdag 18. august: Rundebordsamtale om datadeling

Data har stor verdi og data skal deles, bare så det er slått fast nok en gang. Men i en årrekke har vi diskutert hvordan vi skal dele data på lovlig vis, hvilke begrensninger som finnes og hvordan vi kan overkomme disse. Denne debatten beskrives slik:

Data er en ressurs som samfunnet må utnytte bedre. All offentlig oppgaveløsning og tjenesteutvikling innebærer bruk av data. Viderebruk av offentlig informasjon handler om å gi næringsliv, forskere og sivilsamfunn tilgang til åpne data fra offentlig sektor på en måte som gjør at de kan brukes i nye sammenhenger, skape nye tjenester og gi økt verdiskaping for sluttbrukeren. 

Det er mange gevinster å hente på å dele data bedre, særlig innenfor effektivitet, mulighetsrom og brukeropplevelse. Samtidig møter en raskt på utfordringer knyttet til personvern og datasikkerhet. Det er behov for mer kunnskap om hvordan infrastrukturen, både i statlig og kommunal sektor, kan tilrettelegges for deling av data. 

Tata Consultancy Services (TCS), som IT- og teknologiekspert, ønsker å organisere en rundbordssamtale  med aktører engasjert i dette temaet for å diskutere muligheter, hindringer og potensielle løsninger. Med sin unike innsikt i løsninger og teknologi, kan TCS lede en diskusjon rundt dette temaet og hva dette betyr for virksomheter og befolkningen.   

Rundbordssamtalen vil engasjere forkjempere av datadeling, forsvarere av personvern og datasikkerhet, fra offentlig og privat sektor, med lærepunkter fra forskjellige industrier, når det gjelder avansert datadeling. Dette gleder jeg meg til å diskutere.

Tid: 18. august kl 10-11. | Sted: Madam Reiersen | Arrangør: Tata Consultancy Service  

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16151

Onsdag 18. august: Personvern for barn og unge – hvordan sikrer vi at barna blir hørt?

Arbeidet med å bedre barns personvern har over lang tid vært rettet mot skolesektoren, og det har vært sett på hvordan skolens digitale verktøy for opplæring og kommunikasjon må sikre elevenes personopplysninger.

Tiden er inne for å rette blikket mot de unge selv også. Hvilke verktøy har barn og unge for å få hjelp til å ta gode valg for seg selv? Hva gjør samfunnet for å sikre at barna faktisk blir hørt og de settes i stand til å ivareta sitt eget personvern? 

Barneombud i Barneombudet, Inga Bejer Engh, influenser og samfunnsdebattant Kristin Gjelsvik, og undertegnede tar debatten. Sara Eline Grønvold er moderator. 

Tid: 18. august kl. 15.00 – 16.00 | Sted: Arendal bibliotek | Arrangør: Datatilsynet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15322

Torsdag 19. august: Raskere og mer treffsikker kreftbehandling – hvordan bruke kunstig intelligens til pasientens beste?

Personvern og helse er et svært sentralt tema. Kanskje er det i denne sektoren persondata kan gjøre mest samfunnsnytte? Samtidig er det ingen sektor som har flere registre og mer sensitive data om oss. Det evige spørsmålet er: Hvordan skal vi balansere disse interessene?

Arrangøren beskrives debatten slik: Krav til pasientforløp og ventetid legger stadig større press på spesialisthelsetjenesten. Behovet for raskere diagnostisering og gode verktøy for å avhjelpe kapasitets- og kvalitetsproblemer øker. Å ta i bruk teknologi som baserer seg på KI avhenger av at det etableres gode og forutsigbare rammebetingelser. Dette vil være særlig viktig innen kreftområdet.

I debatten deltar politikere, helsepersonell, beslutningstagere, forskere og jeg, for å diskutere hvordan kunstig intelligens kan bli en større del av løsningen på noen av helsetjenestens utfordringer fremover. Men, hva må eventuelt endres?

Tid: 19. august kl. 11.00 – 12.00 | Sted: Rederikontoret | Arrangør: Siemens Healthineers

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15873

Torsdag 19. august: Blir vi best? Eller kommer vi i bakleksa? Debatt om kunstig intelligens, innovasjon og personvern

Jeg tror fullt og fast på at personvern og innovasjon kan gå hånd i hånd. Nettopp derfor har vi etablert regulatorisk sandkasse for kunstig intelligens, som så langt har vært en stor suksess.

Samtidig ser vi spenninger internasjonalt. Europa tar lederrollen som den ansvarlige på KI-fronten. Og Norge vil være best av de beste. Men hvordan blir hårete mål og strenge personvernregler fulgt opp når gründere vil gjøre geniale idéer til teknologiske tilskudd på et galopperende KI-marked? Graver vi vår egen KI-grav, eller vil de andre følge i våre fotspor? Hvordan er det for innovatørene i kampen mot globale konkurrenter med langt slappere krav? Regulerer vi oss inn i bakleksa? Eller er det vi som vinner til slutt?

Datatilsynet og DigitalNorway inviterer til diskusjon, som vil gå over to paneler. Til arrangementet kommer blant annet Erlend Andreas Gjære (Secure Practice), Anders Bryhni (Sintef), Ingeborg Frøysnes (IKT-Norge), Kjetil Thorvik Brun (Abelia) og Liv Dingsør (DigitalNorway). Kollega Kari Laumann og jeg deltar fra Datatilsynet.  

Tid: 19. august kl. 12.30 – 14.00 | Sted: Thon Hotel Arendal | Arrangør: Datatilsynet og DigitalNorway

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15317

Noe kan gå galt…

Jeg har selvsagt lært. Det har også mange virksomheter. Og testmiljøet i Norge har blitt mer modent, i den forstand at flere har fått opp øynene for hvor viktig, og ikke minst hvor utfordrende testing er. Det er dessuten ikke lenger bare funksjonelle krav i løsningen som skal testes.

La oss begynne med å smake på selve ordet. TEST. Det betyr å prøve ut noe, sannsynligvis noe selskapet har jobbet med lenge, og som de snart skal sette i produksjon. Det ligger nærmest i sakens natur at noe kan gå galt. Ja, vi kan si det så sterkt at det egentlig er ganske fint om noe går galt, for det er jo bedre at det går galt under testing, enn etter produksjonssetting. Men tenker vi tanken helt ut, er det å teste på ekte personopplysninger faktisk å ta en sjanse med disse menneskenes data.

Noe kan gå galt, og de som utfører testingen, skal nødvendigvis heller ikke ha autorisert tilgang til ekte data, for eksempel dersom det er innleide konsulenter. Nå kan ikke dette helt unngås, men det skal foreligge et behandlingsgrunnlag. De som skal teste skal være autoriserte, og vår klare anbefaling er å bruke syntetiske data ved testing. For dummies kalles dette gjerne Donald Duck-data, fordi det ikke er snakk om ekte personer eller opplysninger som kan ledes tilbake til reelle personer.

…og det gjør det dessverre litt for ofte

Det er veldig viktig å teste, derfor er også regelmessig testing eksplisitt nevnt som et aktuelt tiltak for å sørge for tilstrekkelig sikkerhet for personopplysninger. De siste årene har vi sett flere eksempler på alvorlige hendelser fordi virksomhetene ikke har testet på forhånd:

• I en sak mot Oslo kommune, knyttet til appen Skolemelding, ga vi et overtredelsesgebyr på 1,2 millioner kroner. Vi la bl.a. vekt på at «mangelfull testing før lansering av appen førte til at den ble lansert med sårbarheter som er godt kjent i sikkerhetsmiljøer verden over».
• Rælingen kommune ble ilagt et overtredelsesgebyr på 500 000 kroner. Det ble blant annet gitt fordi det ikke var gjort nødvendig testing før applikasjonen Showbie ble tatt i bruk.
• Vi har også nylig gitt et overtredelsesgebyr på kr 1 250 000 til Norges Idrettsforbund. De testet på reelle personer i betydelig omfang da de skulle flytte data fra fysisk miljø til en skytjeneste. Resultatet var at personopplysninger var eksponert i 87 dager. (De har tre uker på å klage på vedtaket.)

Gjør test til en fest!

Hvordan teste riktig? Et godt sted å begynne er å lese Datatilsynets veileder om programvareutvikling med innebygd personvern.Der er et eget kapittel om nettopp testing. Det er også en god ide å la seg inspirere av NAV. Hvert år deler vi ut en pris til beste løsning med innebygd personvern. Vinneren i 2019 var nettopp NAV med bidraget «Gjør test til en fest! Løsning for syntetiske testdata«.

Min testlærekurve har vært bratt, men veldig nyttig, og det var veldig stas å delta på prisutdelingen til NAV. Jeg hadde helt sikkert holdt et mye bedre foredrag om testing nå enn da denne reisen startet. Og jeg fikk min straff. Foredraget den gangen ble holdt på Thon Hotell Nydalen, og da jeg kom ut etter foredraget, var sykkelen min stjålet. Men den avklippede låsen lå igjen. Den hadde altså ikke bestått testen.

En trygg digital oppvekst har vært en viktig satsing for Datatilsynet i mange år. Vi var initiativtaker og er fortsatt aktiv deltager i prosjektet Du bestemmer, en nettressurs for personvern, digital dømmekraft og nettvett, vi har behandlet mange saker der barn og unge rammet av sikkerhetsbrudd bl.a. i kommunene og vi har deltatt aktivt i debatten, og behandlet viktige saker knyttet til for eksempel overvåking av barn og smartklokker, og endelig, foreldres snoking i barns personopplysninger.

Barn og unges personvern må få en sentral plass

Ingen har fasitsvaret på hvordan barn kan få en trygg digital oppvekst. Men et klart fokus på barn og unges personopplysninger, bevissthet og kunnskap om dette, må bli svært viktig i utformingen av strategien. Persondata samles inn, analyseres, deles, gjenbrukes, selges og kjøpes i et tempo som er umulig å ha oversikt over. Dersom barn skal vernes for skadelig markedsføring, er personopplysninger involvert. Dersom barn skal bruke sosiale nettsamfunn trygt, er personopplysninger involvert.

Skal vi hindre snoking, hindre deling av bilder, hindre grov nettkrenkelse og det verste av alt, overgrep, er personopplysninger, og i en del tilfelle sikkerhetsspørsmål, involvert. Mitt klare råd er derfor: Bruk mye tid på personvern, og sørg for å innhente kompetanse der den finnes, nemlig i Datatilsynet.

Kompetanseheving i alle ledd er sentralt

Det er også viktig å vokte seg for den moralske pekefingeren. Vi må lære barn og unge til selv å ta ansvar for egne valg, uten å rette en pekefinger mot dem. Vi må fortelle om de negative følgene av å for eksempel dele nakenbilder, men dersom de likevel velger å gjøre det, er fordømmelse og pekefinger feil medisin.

Vi har alltid vært eksponert for farer i oppveksten. Jeg vokste opp ved E18 mellom Stockholm og Oslo, og bygde demning i veikanten, men jeg forsto at biler var farlige, og jeg måtte gjøre valg: Ikke gå utenfor den gule stripa, gå langt inn til siden hvis en trailer passerte, gå inn i hagen hvis vi hørte en sykebil, ikke sloss i veikanten.

Dagens unge må ta stilling til masse digitale spørsmål og håndtere digitale dilemmaer hver eneste dag. Det må vi som foreldre hjelpe dem til, det må skolen hjelpe dem til, men det dummest vi gjør, er å moralisere når de tar feil valg. Vi må akseptere at de, som vokser opp i en annen verden enn oss, også velger annerledes enn vi ville gjort. Det kanskje aller verste er å gi feil råd. Går ei ung jente til helsesykepleier og ber om hjelp fordi hun har delt et nakenbilde, må hun få riktig råd.  Hvis hun møtes med spørsmålet: «Men hvorfor sendte du bildet», er skylden plutselig plassert og tilliten brutt. Derfor er kompetanseheving helt avgjørende i alle ledd.

Involver riktig fagkompetanse

Hva skal til for at den strategien som nå skal utarbeides blir en suksess? Både selve sluttproduktet og oppfølgingen av det? Bred involvering, bred forankring og åpenhet er noen stikkord. Det er mange som har barn og unge som sitt arbeidsfelt, flere av dem er innledere her i dag. Alle må få mulighet til å delta, til å gi sine innspill.

Datatilsynet kan mye om personvern, og det vil være usedvanlig dumt å ikke involvere oss i spørsmål som dreier seg om personvern. Barneombudet har bred kompetanse på barns rettigheter, og må være en viktig bidragsyter. Og vi må ta de unge med på råd, snakke og lytte. Det er så lett å forsøke å ta de unges perspektiv, uten å snakke med de unge. Vi må erkjenne (jeg gjør det uten blygsel) at ungdomskulturen i dag er vanskelig å forstå. Gjør vi ikke det, bærer det feil av sted.

Få oversikt over hele aktørbildet

Det er et aktørbilde som er ganske komplisert. Ofte snakker vi om de unge selv, foreldre, lærere og kanskje helsesykepleiere på skolen. Men hvem utvikler appene? Hvem står bak de store selskapene? Og hva med de offentlige instansene som behandler opplysninger om barn og unge? Har de kompetansen som trengs?

Det er et helt økosystem som bidrar med det som kan bli en app som eksponerer barn for skadelig innhold, eller en app som gir de unge mulighet til å kontrollere egne data.

Jeg ser fram til å lese en strategi som hever blikket, kartlegger aktørbildet, og som ansvarliggjør de ulike aktørene. Et viktig stikkord for denne strategien må være kompetanseheving i alle ledd. Det trengs kompetanse i hvordan vi skal forebygge uønskede hendelser og kompetanse i hvordan vi skal håndtere det når det går galt.

Jeg håper ikke vi får en strategi der skjermtid og aldergrenser i sosiale medier får plass. Da ender strategien opp som det stussligste av alle dyr, nemlig papirtigeren.

Den 9. april fyrer gründer og evolusjonspsykolog Kyrre Wathne av en bredside mot personvernet. Det er befriende med en debattant som tar kritikken av personvernet helt ut, jeg vil si til det absurde. Men det er synd at han oppfatter «de som er opptatt av personvern» som en sær gjeng, isolert fra verden rundt. Personvernets plass i samfunnsdebatten har riktig nok endret seg de siste syv-åtte årene, og med god grunn.

Stor interesse for persondata

Det har vært mange alvorlige hendelser knyttet til personvern og informasjonssikkerhet de siste årene. Her er en kort liste:

• I Bergen kommune ble den hemmelig adressen til en rekke personer eksponert. Det førte til at noen måtte flytte fra hjemmet sitt, og til at en byråd måtte gå av.
• Østre Toten kommune ble hacket, utsatt for utpressing og sensitive personopplysninger er dumpet på det mørke nettet.
• Facebook utleverte persondata til selskapet Cambridge Analytica. Det kan ha bidratt til å påvirke utfallet av valget i USA i 2016, og Brexit i Storbritannia.
• Helse Sør-Øst utkontrakterte driften av datasystemer til Bulgaria. Ni helseforetak fikk til sammen 7,2 millioner i overtredelsesgebyr.
• Det britiske helsevesenet ble slått ut av Wannacry-viruset med enorme menneskelige og økonomiske konsekvenser.

De siste årene har vi behandlet saker der folk har blitt ulovlig kredittvurdert, helsejournaler har ligget åpent på nett, arbeidsgivere har gjort ulovlig innsyn i ansattes epost og mange blir nektet innsyn i egne opplysninger. Stortinget har vedtatt ny e-lov der omfanget av lovgivningen er høyst uklar.

I dag er opplysningen våre av stor interesse, og verdien av data stigende. Data brukes til markedsføring, til å personrette tilbud og tjenester, til kommersiell overvåking og til overvåking på arbeidsplassen. Det offentlige bruker data til en rekke gode, og ofte uangripelige formål, som for eksempel en bedre skoler, et bedre helsevesen, bedre trafikkavvikling og kriminalitetsbekjempelse.  At persondata analyseres og berikes med andre data, er en selvfølge i dagens samfunn.

Kritikk er av det gode, men ikke når det jukses med fakta

Nettopp derfor ble GDPR og ny personopplysningslov vedtatt i 2018, med overveldende flertall i Stortinget. Derfor ble vi, i likhet med datatilsyn i Europa, styrket. Flere undersøkelser viser at kontroll over flyten av personopplysninger bekymrer en stor andel av befolkningen. Personvern opptar styreledere, direktører, politikere, teknologer og advokater. Det skulle bare mangle. «Noen» vet i realiteten alt om oss: Sykdommer, interesser, reisemønster, familieforhold og økonomi. Derfor får brudd på regelverket så alvorlige konsekvenser, og derfor bærer det så galt av sted når Wathne forsøker å fremstille de som snakke høyt om personvern som en gjeng virkelighetsfjerne aktivister.

Wathne kritiserer oss for behandlingen av saken om Smittestopp. Kritikk er av det gode, men ikke når det jukses med fakta. Han hevder at Datatilsynet hadde da også innledningsvis understreket at Smittestopp var fullt forenlig med GDPR. Dette er ikke sant. Da forskriften som regulerte det som skulle bli til Smittestopp ble vedtatt, sa vi at en smitteapp kan, i en krisetid, være et akseptabelt tiltak for å slå tilbake pandemien og redde liv. Det har vi stått fast ved hele tiden. Da selve appen ble lansert, sto det imidlertid klart for oss at vi ikke gjorde jobben vår om vi ikke kontrollerte lovligheten av en app som kunne følge bevegelsene til alle som lastet den ned. Resultatet ble at vi nedla forbud, blant annet fordi den brøt med dataminimeringsprinsippet og formålsprinsippet i personvernforordningen.

Da vi traff beslutningen, skal vi angivelig ha latt oss presse av «det lille, men innflytelsesrike miljøet av personvernaktivister». Fakta er at vi varslet kontroll av Smittestopp samme dag som appen ble lansert. Før det hadde vi gitt innspill til FHI og departementet om hva de burde legge vekt på, men det ble ikke fulgt. Nok en gang jukser Wathne med fakta i sin iver etter å sverte personvernet. Flere av «personvernaktivistene» han refererer til, deltok dessuten i den teknologiske ekspertgruppen Helse- og omsorgsdepartementet opprettet for å kvalitetssjekke appen. Høyt kompetente teknologer har vært rådgivere i utviklingen av den nye versjonen av Smittestopp.

Det å ta lett på personvern kan få alvorlige konsekvenser

Wathne skriver at en velferdsstat knapt kan fungere uten at staten samler enorme mengder med opplysninger om oss, enten det gjelder økonomi, helse eller familieforhold. Han nevner databaser som Altinn, Pasientjournal og Nav, og påstår at de er like sårbare for datalekkasjer som Smittestopp ville vært.

At velferdsstaten ikke kunne fungert uten et godt kunnskapsgrunnlag, samlet inn om oss borgere, er så åpenbart at det knapt trengs imøtegås. Men det å ta lett på personvern kan få alvorlige konsekvenser. Sikkerhetsløsningene i de ulike systemene som nevnes, vet Wathne åpenbart ingenting om, men å sammenligne sikkerheten i det enorme NAV-systemet med løsningen i Smittestopp, blir rett og slett for dumt.

NAV har for øvrig eksponert flere hundre tusen CVer ulovlig. Det viser igjen sårbarheten selv i systemer driftet av store aktører med betydelige ressurser. Nesten morsomt blir det når Wathne gir en sammenligningen av Smittestopp mot andre tjenester: Den statlige tjenesten Yr bruker også posisjonen din, og fra personvernerklæringen deres kan det virke som de lagrer den i 30 dager hos et amerikansk selskap. Er det ikke en forskjell på å lokalisere hvor du er når du sjekker YR, og å spore bevegelser kontinuerlig, samt sende inn helseopplysninger til et sentralt register?

Takk for at jeg fikk muligheten til å snakke om foreldrenes rolle som digitale grensesetter og støttespiller. Det jeg kan om dette er todelt. Jeg kan noe i min rolle som far til to barn og også farfar til en digital innbygger, og jeg kan noe som leder av et tilsyn som er opptatt av at barn og unge skal kunne ivareta sitt eget personvern og respektere andres. I forlengelsen av dette har jeg også noen tanker om hvordan foreldrene kan hjelpe barna på veien.

Jeg hadde en livsfarlig oppvekst. Mitt barndomshjem lå helt inntil E18, hovedveien mellom Oslo og Stockholm. Det var færre biler den gangen, men det var like farlig å bli påkjørt den gangen som nå. Likevel lekte vi i veikanten, vi bygde demninger av overvannet som rant fra veien og ut i grøftekanten. Dette var noe av det absolutt morsomste jeg visste. Foreldrene mine var klare over farene, men aksepterte risikoen. Og de lærte meg opp til å forstå hva som var farlig og hva jeg måtte passe på.

Foreldrene må ta de nødvendige samtalene

Hvis noen hadde lekt i veikanten utenfor mitt barndomshjem i dag, ville barnevernet vært der på flekken. Men det ligger en lærdom i den enkle fortellingen over. Man er som internett- og mobiltelefonforelder i dag nødt til å stole på at barna tar riktige valg, for de er konstant oppe i situasjoner de må håndtere på egenhånd. Da er det viktig at foreldrene tar de nødvendige samtalene for å gjøre barna rustet til å møte disse situasjonene.

På meg virker det som om mange foreldre viker unna. De mener de ikke vet hva barna holder på med og forstår seg ikke på det. De har selvsagt helt rett, og slik har det alltid vært. Satt på spissen: Foreldre har aldri forstått hva barna deres holder på med, og hva barna deres blir utsatt for. Hvor mange historier har vi ikke hørt om barn som har blitt mobbet eller plaget uten at foreldrene visste om det? Det er en naturlig unnskyldning at man ikke forstår hva barna gjør, men det er også en dårlig unnskyldning. Å vise interesse, spørre, se hva de gjør, forsøke å sette seg inn i hva ungene holder på med, er utrolig viktig. Selv om de aller færreste skjønner seg på teknologi og sjargong.

Respekt og tillit, ikke kontroll

Dessverre ser vi også en del foreldre som velger å i alt for stor grad kontrollere hva barna deres gjør, eller som til enhver tid vil vite hvor barnet deres er. Det er helt forståelig. Vi har nok alle opplevd en klo av angst og usikkerhet, og vi har ønsket veldig sterkt å vite mer. Noen kjøper da klokker som overvåker barna, noen tyr til snoking.

Det er mange viktige ting vi må lære barna våre, og en av de viktige tingene er å respektere andres personvern og ikke plage andre digitalt slik som å ikke dele bilder uten samtykke eller sende slemme meldinger.

Men hvordan skal foreldre kunne lære barn å respektere andres personvern, når de samme foreldrene ikke respekterer sine egne barns personvern? Eksemplets makt er sterkt.

Jeg nevnte over at vi må stole på at barn tar riktige avgjørelse. Det betyr ikke at jeg er motstander av for eksempel regulering av aldersgrenser på sosiale nettsamfunn. Vi må huske på at alle reglene i personvernforordningen faktisk også gjelder barn og unge. Men digital kompetanse er uhyre viktig. Dubestemmer.no er en nettressurs om personvern, digital dømmekraft og nettvett. Her finner man filmer, diskusjonsopplegg og gode råd. Nettressursen kan brukes av både lærere, foreldre og alle andre for å øke bevisstheten, skape refleksjon og gi kunnskap. Vi er veldig stolte over hva vi har fått til med Du Bestemmer de siste årene i samarbeid med Utdanningsdirektoratet, og vi oppfordrer alle til å gå inn på nettsiden.

Sett deg inn i hva barna driver med

2021 er året for å lære seg noe nytt. Mitt mål er å bli mye bedre på å bruke Excel. Kanskje bør de med barn ha som mål å lære seg litt mer om hva ungene deres gjør når de sitter med nesa i skjermen. Opprett profil på TikTok, test Snapchat, følg noen youtubere eller noen influensere på Instagram. Dere vil garantert bli overrasket.

Til slutt en liten historie jeg lærte veldig mye av. På Pride Parade i 2019 sto jeg ved siden av to mødre med tenåringsdøtre. Det var ingen jeg kjente, men jeg ble oppmerksom på samtalen dem imellom, og særlig da Erna Solberg kom gående. Foreldrene ble svært ivrige og fortale ungdommene at «Se, der er statsministeren», noe de to ungdommene var ganske uinteresserte i. Litt etterpå kom en lastbil med youtubere på lasteplanet. Da tok de derimot helt av. De rødmet, hoppet, skrek og jublet: «Det er youtubere, mamma. Se, det er youtubere!». Og foreldrene skjønte åpenbart ikke hva ungene deres snakket om, eller hvorfor de var så begeistret…

Ha en fin Trygg internettdag!

Gratulerer med dagen alle sammen, og hjertelig velkommen til årets personvernkonferanse. For første, og forhåpentligvis siste gang, holdes konferansen utelukkende digitalt. Men vi vet at mange sitter klistret foran skjermen med popcorn, cola og jeg har hørt rykter om strikketøy, og det er vi veldig glade for.

Det spørsmålet jeg skal forsøke å besvare, er om digital smittesporing er den første store testen på effekten av personvernforordningen. Og like viktig, om personvernverdiene står seg under press. Dette spørsmålet kan selvsagt ikke besvares med «ja» eller «nei». Særlig i den tiden vi nå lever i, kan svært få spørsmål besvares så enkelt. Til det er usikkerheten for stor.

Smittestopp og personvern

Men det er en del – la oss kalle det signaler, som i hvert fall trekker i retning av at svaret er «ja». Jeg skal ikke bruke tid på å snakke om de juridiske sidene av Smittestopp-saken, men si litt om hva vi kan trekke ut av prosessen i Norge og i andre land. Jeg vil også se på hva vi kan trekke ut av reaksjonene som kom fra politisk hold, teknologimiljøene, organisasjoner og norske borgere.

Vi så tidlig at myndigheter i mange land rullet ut egenutviklede løsninger som senere måtte trekkes tilbake av personverngrunner. Det som skjedde med Smittestopp i Norge var derfor ikke unikt – i motsetning til det som kanskje har festet seg som et inntrykk. Men den norske løsningen var blant de mest inngripende.

I en krisesituasjon vil mange bytte litt frihet med trygghet. Vi må også et stykke på vei akseptere en slik byttehandel.

I Storbritannia kom myndighetene for eksempel med en egenutviklet app (NHS Covid-19), basert på bluetooth og sentral lagring. De måtte trekke den tilbake på grunn av kritikk (blant annet problemer med Apples bluetooth-begrensninger) og manglende effekt. De gikk etterhvert over til Google/Apple-løsningen.

I Tyskland lanserte myndighetene en egenutviklet app (CoronaWarn) basert på bluetooth og sentral lagring. Den måtte også trekkes tilbake på grunn av kritikk (blant annet problemer med Apples bluetooth-begrensninger) og manglende effekt, og gikk over til Google/Apple. Forskjellen mellom Storbritannia og Tyskland er at Tyskland snudde seg raskt.

Vi kan kanskje nevne Danmark, som ventet med å utvikle appen. Hvorfor? Det kan ha å gjøre med at de ventet til de var trygge på løsningen, fra et sikkerhets- og personvernperspektiv.

I Norge kjenner vi historien. FHI måtte trekke tilbake appen på grunn av et vedtak fra oss.

En test av personvernlovgivningen

Et delsvar på spørsmålet mitt er altså at myndigheter i flere europeiske land ble tvunget til å utvikle mer personvernvennlige løsninger som følge av kritikk. Det vitner om en personvernlovgivning som tåler å testes i krevende situasjoner. Selv om det vi i Datatilsynet har stått i ikke kan sammenlignes med det helsemyndighetene har stått i, skal det ikke stikkes under en stol at det å behandle saker knyttet til smittesporing har vært krevende.

I en krisesituasjon vil mange bytte litt frihet med trygghet. Vi må også et stykke på vei akseptere en slik byttehandel. Derfor er det ekstra interessant, i lys av temaet for dette foredraget, å se nærmere på de reaksjonene Smittestopp-saken utløste.

Og ettersom det tross alt er personverndagen i dag (vår egen dag!) er jeg navlebeskuende nok til å begynne med oss selv. Den dagen Smittestopp-prosjektet ble lansert, sa jeg i Dagsnytt 18: «en smitteapp kan, i en krisetid, være et akseptabelt tiltak for å slå tilbake pandemien og redde liv».

I nettmeldingen vi sendte ut 27. mars skrev vi:

«Vi etterlater oss en lang rekke digitale spor hver dag, og i motsetning til ved tidligere pandemier, har vi nå mulighet til å bruke disse dataene til å kartlegge smittespredning og varsle befolkningen på nye måter. Det er viktig å benytte seg av slike muligheter, men vi har ikke tidligere vurdert hvor langt vi kan gå i å tillate at personverndata blir brukt til slike formål i en krisesituasjon».

Personvernrådet (en sammenslutning av alle datatilsynsmyndighetene i EU- og EØS-området) uttalte at personvernforordningen «ikke er til hinder for tiltak som kan bekjempe koronavirus-epidemien». Rådet understrekte samtidig at myndighetene må beskytte borgernes grunnleggende rettigheter selv om det er mulig for medlemsstatene å innføre lovgivningstiltak for å ivareta offentlig sikkerhet.

Personvernrådet fortsetter slik: «Denne typen lovgivning er kun lovlig dersom det utgjør et nødvendig, egnet og forholdsmessig tiltak i et demokratisk samfunn».

Og som en parentes, før vi går videre: Disse verdiene speiler innholdet i EMK artikkel 8, som fastslår retten til privatliv. 

Har bestått testen

De signalene personvernmyndighetene ga, er viktig i en vurdering av om forordningen har bestått testen. Fordi vi anerkjente bruken av teknologi for å bekjempe pandemien, og fordi sluttresultatet er en smittesporingsapp som er akseptabel fra et personvernståsted.

La oss så se på reaksjonene fra andre grupper i samfunnet.

Teknomiljøet var raskt ute. I dette miljøet har vi selvsagt en del personvernere, men det slo oss at bredden i kritikken var stor. Det gikk ikke på digital smittesporing som sådan, men på teknologivalg og sikkerhet, og omfanget av inngrepet overfor den enkelte. Det ble laget et opprop, en sjeldenhet generelt, og kanskje i teknologimiljøet spesielt, og viser tydelig at engasjementet for personvern er betydelig.

Også folk flest viste stor interesse. Uten å lage noe stort nummer ut av det – men jeg får jo en del e-post fra folk som har meninger om det vi gjør – smittestopp engasjerte voldsomt, og det i begge retninger. Vi mottok også formelle klager fra norske borgere. Saken ble heftig debattert, var i Dagsnytt 18 flere ganger, samt i andre nyhetssendinger. Saken gikk også sine svært aktive runder på Twitter og andre sosiale nettsamfunn, og ble også omtalt internasjonalt.

Det er også verdt å merke seg at Stortinget vedtok å dele smittestopp i to: én for smittesporing og én for modellering av smittespredning, forskning og eventuelt andre formål. Og til slutt: Amnesty kom på banen med en rangering av ulike smitteapper, i et menneskerettighetsperspektiv.

Alt dette trekker etter min mening i retning av at personvernforordningen, og verdiene den beskytter, har blitt testet, og bestått. Grunnen er denne:

Det som har engasjert borgere og forbrukere, teknologimiljøet, politikere og organisasjoner, er at Smittestopp utfordret noen viktige prinsipper i personvernregelverket. Stortinget var opptatt av formålsprinsippet. Sikkerhet og teknologivalg, og viktige prinsipper som dataminimering og skikkelige konsekvensvurderinger, var særlig viktig hos teknologimiljøet. Amnesty var opptatt av koblingen mellom personvern og menneskerettigheter som kommer fra samme verdigrunnlag. Norske borgere var i stor grad opptatt av det som er kjernen i personvernet, her uttrykt på en folkelig måte: Frihet fra urettmessig overvåking.

Er vi avhengige av Silicon Valley?

Det er imidlertid noen tankekors som ikke bare handler om forordningen, men også om teknologiutvikling, og kanskje også forretningsmodeller. Det er Google og Apple sine roller.

Dagens Smittestopp er langt mer personvernvennlig enn den første. Den er like fullt bygget på infrastrukturen der i hvert fall ett av selskapene er sterkt kritisert for sin holdning til personvern, og nå har flere store saker mot seg fra personvernmyndigheter. Er det uproblematisk at myndigheter i demokratiske stater er avhengige av Silicon Valley for å levere viktige tjenester til innbyggerne? Dette er et godt tema for diskusjonen senere.

Takk for oppmerksomheten!

Datatilsynet og Teknologirådet markerte også i år den internasjonale personverndagen den 28. januar med et åpent møte – denne gangen på nett. Les mer om arrangementet og se opptak

Noe av det beste jeg vet er bearnaisesaus. Jeg skal kort fortelle hvilke muligheter man har til å lage en bearnaise.

• Vi kan kjøpe en pose fra Toro, ha i smør og melk, og koke i fem minutter. Resultatet blir helt ok.
• Vi kan bruke egg, smør, estragon og bearnaise-essen. Da blir det litt mer avansert.
• Vi kan lage essensen selv. Da blir det enda mer avansert.
• Eller vi kan blande inn litt tomatpure. Da blir det en choron-saus, og vi begynner å fjerne oss fra det opprinnelige produktet.

Egentlig er en sausoppskrift en algoritme. Den enkle, fra Toro, er ganske enkel å kontrollere. Vi kan lese på pakken hva som er i den, og det å kontrollere smør og melk er en smal sak. Men jo flere elementer vi bygger inn i sausen, eller algoritmen, jo vanskeligere blir det å ha kontroll over sluttproduktet. Mye kan gå feil – sausen kan skjære seg eller algoritmen kan gi en skjevt bilde av en person. Vi kan smugle inn en ny ingrediens, for eksempel mel, som vi kanskje ikke engang merker på smaken, men som en person med søliaki vil bli meget syk av – noe som er fryktelig vanskelig å kontrollere. Slik er det med en algoritme også. Den kan, hvis den er veldig avansert, produsere resultater som er veldig vanskelig å forutse.

Det lille minuttet du har brukt på å lese dette blogginnlegget hittil, har det blitt sendt 2,5 millioner snapper, det er gjort 4,1 millioner søk på Google og det har blitt sveipet 1,6 millioner ganger på Tinder. De dataene vi legger igjen blir brukt til noe. De kan inngå som en del av beslutningsgrunnlaget som avgjør om vi skal få lån, hva slags annonse vi skal få vist på en nettside eller, som i Kina, om vi får leid bil eller hvor høyt depositum vi må betale når vi leier leilighet.

Å møte denne utviklingen betyr at vi må diskutere lovverk, etikk og nye måter å regulere på. Og jeg skal ta utgangspunkt i tilsyn. Dette er et vanskelig spørsmål, og vi er enda ikke «ferdig tenkt», 

Vi har, så langt, liten erfaring med tilsyn med algoritmer, men jeg vil nevne én konkret sak. Det er tvil om det i denne saken virkelig var snakk om en algoritme, men den er uansett veldig illustrerende. Saken gjaldt skoleelever som uten forklaring fikk betydelig lavere karakterer enn de forventet. Disse elevene har gått på IB-linjene som mange videregående skoler tilbyr. I år ble eksamen mange steder avlyst pga korona, og da måtte man bruke andre elementer enn karakter på eksamen for å fastsette endelig karakter. Årsaken til at karakterene har blitt satt ned, er at man har brukt historiske data om tidligere elever ved samme skole i karaktersettingen, i et forsøk på å kompensere for korona-avlyste eksamener. Og de historiske dataene handlet blant annet om hvordan elevene ved skolen normalt gjorde det. Til dette sa vi følgende:

«Elevene blir langt på vei satt i bås på bakgrunn av skolens historiske resultater, selv om alle elever er forskjellige. Samtidig kan karaktersettingen ha svært stor innvirkning på den enkeltes videre studier, karriere og liv. Dette er ikke rettferdig ovenfor elevene som har jobbet hardt og som nå ikke kommer inn på studiene de ønsket seg til.»

Når det gjaldt den mer konkrete juridiske begrunnelsen, var den at karakterer er personopplysninger, og etter personvernforordningen skal personopplysninger være korrekte og behandles på en åpen og rettferdig måte. Vi mente at IB-karakterene ikke er korrekte fordi de ikke avspeiler den enkeltes individuelle faglige nivå, noe som er formålet med karaktersetting. I stedet prøver karaktersettingen å forutse hvilke karakterer vedkommende hadde fått på eksamen hvis eksamen ikke var blitt avlyst, men dette er det ikke mulig å nøyaktig forutse.

Vi mente også at det er urettferdig å bygge karakterer på hvordan andre elever ved samme skole har prestert tidligere år. Dette kan føre til diskriminering fordi karaktermodellen behandler elever ved ulike skoler ulikt.

Vi har altså allerede et algoritmetilsyn i Norge, og det er Datatilsynet. Vi kan føre tilsyn med automatiserte beslutninger, der beslutning er tatt av en algoritme. Vi kan be om å få fremlagt, og vurdere, risikovurderingen, om utredning av personvernkonsekvenser er god nok, vi kan pålegge sletting og gi innsyn i data, for å nevne noen eksempler. Og vi kan, som i IB-saken, se på hvilke informasjonsfragmenter som inngår i beslutningen, og om de er urettferdige. Men å gå inn og kontrollere selve algoritmen, selve tallstrengen, er adskillig mer krevende.

For kun dager siden kom EU-parlamentet med en oppfordring til EU-kommisjonen om å lage et rammeverk for kunstig intelligens, robotteknologi og lignende teknologier. Jeg har ikke lest hele dokumentet som er på veldig mange sider, men det har en innretning som er interessant. Det peker bl.a. på de gode sidene ved kunstig intelligens, men også farene, som vi kjenner godt. En beslutning truffet ved hjelp av kunstig intelligens og algoritmer, kan være fordomsfull, rasistisk, kjønnsdiskriminerende og aldersdiskriminerende. For så vidt: Akkurat slik en avgjørelse truffet av et menneske kan være, uten å gå nærmere inn på det her. I rapporten understekes mye av det samme som i GDPR, viktigheten av risikovurderinger, sikkerhet, gjennomsiktighet og ansvarlighet. Fordommer, sosial ansvarlighet og likestilling mellom kjønnene diskuteres spesielt.

Og deler av rapporten har et positivt tilsnitt, det heter blant annet:

«kunstig intelligens, robotteknologi og relaterede teknologier kan bidrage til at mindske sociale uligheder og gør gældende, at den europæiske udviklingsmodel skal være baseret på borgernes tillid og større social samhørighed»

For dagens tema er det også interessant at det foreslås å utpeke tilsynsmyndigheter, i flertall, som skal føre tilsyn med disse reglene. Dette er veldig spennende. Vi må innse at dagens lovverk kanskje ikke alltid er tilpasset en algoritmifisert verden, og kanskje er det heller ikke mulig å regulere i en verden som beveger seg så fort som den gjør nå. Det er derfor svært viktig at etikken ligger som et skall rundt lovverket. Det er ikke slik at alt som ikke er ulovlig, er ok. Ta forsikring, for eksempel: Vi kan forutse mange sykdommer ved å kartlegge livsmønsteret til folk i detalj, og vi kan beregne en forsikringspremie som tilsvarer den individuelle risikoen for å bli syk. Det er nesten umulig å lovregulere dette. Og det etiske spørsmålet som oppstår her er selvsagt hvor langt vi skal gå i å individualisere forsikringspremien, før vi undergraver selve forsikringsproduktet, som jo er et kollektivt produkt? Det er et dypt etisk spørsmål om hvor langt vi som samfunn skal tillate at eldre, folk med medfødte sykdommer eller overvektige, skal diskrimineres.

Datatilsynet jobber for at regelverket skal etterleves. Vi kan føre tilsyn, behandle enkeltsaker og drive informasjonsarbeid om hvordan reglene er å forstå. Nå har vi etablert en helt ny arbeidsmetode, nemlig en regulatorisk sandkasse for kunstig intelligens. Dette er et testmiljø der virksomheter kan eksperimentere med nye tjenester og løsninger i et trygt miljø, og få rådgivning fra våre eksperter på juss og teknologi.

Den overordnede målsettingen er å stimulere til innovasjon av etisk og ansvarlig kunstig intelligens. Personvern og innovasjon blir av og til fremstilt gjensidig utelukkende. Dette er en misforståelse. Tvert imot så kan dårlig ivaretatt personvern i utviklingen av kunstig intelligens hemme graden av innovasjon.

Vi åpner for søknader for å bli tatt opp i sandkassen 1. desember. Jeg understreker at de som tas opp må bruke kunstig intelligens i løsningen sin. Men det vil selvsagt være en kvalitetsterskel for å komme inn i prosjektet. Det holder altså ikke å komme med en pakke Toro sauspulver og litt smør, kanskje heller ikke en simpel essens. Men hva om noen kommer opp med en idé om å lete rundt, ved hjelp av kunstig intelligens, på den store verdensveven, for å finne en ny ingrediens til bearnaisen?  Og kanskje finner de tomatpureen. Men dessverre, den sausen er allerede laget, og heter som sagt choron-saus. Det er dårlige greier, men i sandkassa skal det være lov å leke!

Dette er en utvidet og popularisert versjon av et foredrag jeg holdt på Likestillings- og diskrimineringsombudets årskonferanse 29. oktober 2020

Det er selvsagt helt legitimt å være uenig i vår vurdering. Men Høies argumentasjon er omtrent som å si at man kommer fortere fram hvis man kjører i 100 km/t i 80–sonen, og at det er politiets skyld dersom man blir stoppet og får en bot. Datatilsynets konklusjon er bygd på en meget grundig analyse av appen, både teknisk og juridisk. Vurderingen av løsningen er gjort opp mot personvernforordningen og personopplysningsloven, som igjen henter viktige prinsipper fra Den europeiske menneskerettighetskonvensjonen.

Grundig vurdering og bred enighet

Det er bred enighet om at en app som Smittestopp er et stort inngrep i den enkeltes privatliv.

I en situasjon uten koronavirus ville det vært helt utenkelig at myndighetene skulle utvikle en app som samlet inn opplysninger om hvem vi borgere var i nærkontakt med, og hvor vi beveget oss – og lagre opplysningene i et sentralt lager.

Selv i en koronasituasjon stilles imidlertid strenge krav til både teknologivalg, det juridiske rammeverket som regulerer bruken og selvsagt om appen faktisk har noen nytte.

Høie sier at vi la «veldig stor vekt på forholdsmessigheten i tiltaket», og at «Smittetopp var i tråd med godt personvern». Det er riktig at vi la vekt på forholdsmessigheten, fordi det er selv kjernen i personvernet: Ulike hensyn må veies mot hverandre. Vi vurderte en rekke ulike momenter. Blant annet la vi vekt på at appen hadde tre formål i ett samtykke:

• sporing av nærkontakter,
• modellering av smittespredning og
• forskning.

Dette er problematisk, fordi det fratar borgerne retten til selv å bestemme hva personopplysningene deres skal brukes til.

Det ble også brukt posisjoneringsdata (GPS) i smittesporingen. I personvernet er dataminimaliseringsprinsippet viktig. Det betyr at man aldri skal samle inn mer data enn man trenger for å oppnå formålet med behandlingen. I nær sagt alle toneangivende teknologimiljøer er det bred enighet om at det er unødvendig å bruke GPS i smittesporingen, noe som brøt med det nevnte prinsippet.

I sum utgjorde dette et betydelig inngrep i den enkeltes personvern. Da må det foreligge solid dokumentasjon for at appen faktisk har en nytte. Problemet var at slik dokumentasjon ikke fantes. Da vi fattet vårt vedtak hadde 14 prosent av befolkningen over 16 år lastet ned appen, mens FHI mente det burde være minst 50 prosent, helst 60 prosent, oppslutning for at den skulle ha den nødvendige effekten. De sa også at det var «vanskelig å validere om riktige personer ble varslet, ikke for få, ikke for mange», grunnet smittesituasjonen i midten av juni.

Vår konklusjon var derfor at appen var ulovlig fordi det ikke kunne dokumenteres at nytten av appen forsvarte alvorligheten i personverninngrepet.

Skyter på feil blink, og bommer

Høie står fritt til å mene at appen var «i tråd med godt personvern». Men det er verdt å merke seg at Smittestopp var i direkte strid med veiledning fra Personvernrådet, som er EUs øverste personvernorgan. Stortinget vedtok at formålene i appen måtte deles opp, slik at man for eksempel kunne velge kun å si ja til smittesporing, men nei til modellering av smittespredning.

Den norske appen har også blitt kritisert av Amnesty International. De rangerer appen som en av de aller mest inngripende i menneskerettighetsperspektiv.

Ekspertgruppen som ble oppnevnt av Helse- og omsorgsdepartementet, konkluderte 20. mai med at verken personvern eller informasjonssikkerhet i appen var godt nok ivaretatt. Omtrent samtidig kom mer enn 60 fremtredende IT-eksperter med bred kritikk av appen. Og så vidt vi er kjent med, har ingen land det er naturlig å sammenligne oss med, valgt en løsning som er så inngripende som den norske.

Mye kunne vært gjort annerledes i denne saken, men etterpåklokskap står seg dårlig i den krevende tiden vi lever i.

Å skylde på Datatilsynet for at man nå ikke «får den kunnskapen som denne appen kunne gitt oss», blir å skyte på feil blink.

Jeg tror det kunne vært mulig å utvikle en app som fylte de formålene Høie ønsker, men da måtte man blant annet ha brukt mer tid, utviklet annen teknologi, lyttet til Stortinget, gitt borgerne mer selvbestemmelse og trukket mer på bredden i det teknologiske miljøet (som man finner blant de som skrev under på oppropet nevnt over). At man nå, mer enn et halvt år etter at samfunnet stengte ned, ikke har en app på plass, skyldes ikke Datatilsynet.

(Denne kronikken var også publisert i Dagbladet 7. oktober 2020.)