Datatilsynet mener Goodwin ikke treffer helt i sin argumentasjon.

La oss først avklare en viktig detalj: Norske forskere har tilgang til data, også for å utvikle algoritmer. Dersom dataene er opplysninger om enkeltpersoner, altså personopplysninger, må reglene i personopplysningsloven og EUs personvernforordning følges.

Det innebærer blant annet å etterleve prinsippet om dataminimering. Prinsippet betyr at personopplysningene skal være adekvate, relevante og begrenset til det som er nødvendig for å utvikle algoritmen. Formålet er å gjøre inngrepet i enkeltpersonenes rett til personvern så lite som mulig. Prinsippet innebærer derimot ikke at personopplysninger aldri kan brukes for å utvikle algoritmer, slik Goodwin gir inntrykk av.

Personvern handler om enkeltmenneskers rett til vern om sin identitet.

Hvorfor er retten til personvern så viktig?

Personvern handler om enkeltmenneskers rett til vern om sin identitet. Rettigheten er en del av retten til privatliv, som er en forutsetning for et demokratisk samfunn. Den europeiske menneskerettskonvensjonen artikkel 8 oppstiller begrensninger for statens inngrep i retten til privatliv.

Datatilsynet mener det er viktigere å respektere menneskerettighetene, enn å vinne et digitaliseringskappløp.

Datasamlingen som Goodwin lengter etter vil innebære et massivt inngrep i borgernes rett til personvern, selv om dataene er anonymiserte. Trolig kan ikke tilstrekkelig grad av anonymisering oppnås i Norge, blant annet fordi befolkningen er liten. Datatilsynet har nylig kommet til at forslaget om tilrettelagt masseovervåkning av borgerne bryter med Norges menneskerettslige forpliktelser. Det er grunn til å tro at den kinesiske måten å utvikle kunstig intelligens på, gjør det samme.

Datatilsynet mener det er viktigere å respektere menneskerettighetene, enn å vinne et digitaliseringskappløp i konkurranse med et land som ikke respekterer grunnleggende menneskerettigheter, og som heller ikke har et velfungerende demokrati.

Vi trenger gode algoritmer

I stedet for å lengte etter Kina, bør forskere fokusere på hvordan det kan utvikles gode algoritmer uten Kinas datamengder. For det første er det en nødvendighet. For la oss være ærlige, Norges vel fem millioner innbyggere kan aldri gi de samme datamengdene som Kinas 1,5 milliarder innbyggere. For det andre krever ny teknologi tillit for å bli tatt i bruk. Å utvikle algoritmene i samsvar med personvernregelverket, vil bidra til å oppnå den tilliten som kreves for at teknologien kan nå sitt potensiale. Ett av personvernforordningens formål er nemlig å skape tillit ved bruk av personopplysninger.

Ny teknologi krever tillit for å bli tatt i bruk.

Men Goodwin har et poeng: Norge trenger et mål med digitaliseringen. Datatilsynet er derfor positive til digitaliseringsministerens beslutning om å utvikle en nasjonal strategi for kunstig intelligens. Datatilsynet er klare til å bidra med vår kunnskap om personvern og kunstig intelligens i utviklingen av strategien.

Medforfatter: Catharina Nes

Globale løsninger og etiske perspektiver

De to første dagen var konferansen lukket for personvernmyndigheter. I åpningstalen pekte Frans Timmermanns, førstevisepresident i Europakommisjonen, at vi må få på plass de etiske perspektivene for å løse de juridiske problemstillingene. Timmermans understreket også behovet for globale løsninger på globale problemer, som dagens datadrevne liv representerer.

Konferansen vedtok en deklarasjon om etisk og personvernvennlig kunstig intelligens. Forhåpentligvis vil denne deklarasjonen bidra til globale løsninger for utvikling og bruk av systemer med kunstig intelligens. Ettersom konferansen samler datatilsynsmyndigheter fra hele verden, tillegges konferansens avgjørelser stor vekt.

Deklarasjonens formål er å bidra til en global diskusjon om temaet, samt å fremme behovet for internasjonale styringsprinsipper for kunstig intelligens. Den inneholder blant annet seks veiledende prinsipper som skal ivareta menneskerettigheter ved utvikling av kunstig intelligens. Prinsippene er først og fremst knyttet til personopplysningsvern, men omfatter også etiske vurderinger som er knyttet til utviklingen av kunstig intelligens.

Deklarasjonen er på offentlig høring og kan leses her.

Ulike former for kunstig intelligens er på god vei til å gjøre sitt inntog på alle samfunnsområder, fra Netflixs forslag til hvilken film du skal se til å fastslå hvilken straff en forbryter skal få. I Kina har myndighetene gått så langt som å etablere et sosialt skåringssystem hvor din sosiale skår blant annet avgjør om du kan få reise til andre byer. Kinas system viser at det er helt avgjørende at verdenssamfunnet diskuterer den fremtidige bruken av kunstig intelligens slik at bruken skjer til det beste for menneskeheten.

Andre saker som er verdt å nevne er resolusjon om e-læringsplattformer og resolusjon om samarbeid mellom personvernmyndigheter og forbrukermyndigheter for bedre rettigheter for innbyggerne og forbrukerne i den digitale økonomien.

Etiske utfordringer i et datadrevet samfunn

De to siste dagene var konferansen åpen for alle som ville delta. EU-parlamentets hovedsal var pyntet i lilla lys da den ønsket et stjernelag av talere, paneldeltakere og personvernentusiaster velkommen til to innholdsrike dager.

Ett av konferansens definitive høydepunkter var Giovanni Butarellis tale. Butarelli er leder for EU-institusjonenes datatilsyn (European Data Protection Supervisor). Talen vekket stor begeistring blant tilhørerne. Butarelli talte klokt om forholdet mellom jus og etikk, mellom etikk og retten til personvern og om hvilke verdier som står på spill i dagens digitale økonomi.
Skal du bare ta med ett sitat fra hans tale, må det være dette:

«Not everything that is legally compliant and technically feasible is moral sustainable.»

Talen til Buttarelli kan ses her og leses her.

En annen taler som har fått mye oppmerksomhet er Tim Cook (CEO hos Apple). Noe av oppmerksomheten er nok begrunnet i hans uttalelser om at Apple anerkjenner retten til personvern som en grunnleggende menneskerettighet, og at Apple vil støtte en føderal amerikansk personvernlov bygget på samme prinsipper som EUs personvernforordning.

Men talen har nok fått vel så mye oppmerksomhet for Cooks angrep på andre teknologigiganter, som Facebook og Google (uten av navn ble nevnt). Cook uttalte blant annet:

«Our own information, from the everyday to the deeply personal, is being weaponized against us with military efficiency.»

Talen til Cook kan ses her eller leses her.

Også andre talere og paneldeltakere holdt gode og tankevekkende innlegg. World Wide Webs far, Tim Berners-Lee, snakket om utvikling av nye verktøy som skal bidra til at folk kan ta kontroll over egne opplysninger på Internett. Tristan Harris, tidligere utvikler for Google, snakket om hvordan teknologigiganter jobber for å overtale oss til å dele mer. Han brukte følgende sammenligning for å beskrive det som skjer:

«Imagine a priest in the confession booth, listening to all 2 billion confessions. Going with you and hearing conversations, and then predicting what confessions you might make and monitizing them.»

Mange pekte også på demokratiske utfordringer når så mye makt er samlet hos få teknologigiganter, og hvordan verktøyene de utvikler kan misbrukes, for eksempel av autokrater. Andre pekte på den store risikoen for at underliggende skjevheter i datagrunnlaget fører til økt diskriminering i samfunnet.

Disse utfordringene, og flere til, viser at det er viktig at retten til personvern og personopplysningsvern blir satt på agendaen, også ved utvikling og bruk av kunstig intelligens. Og ikke minst er det viktig at de etiske sidene ved teknologien blir debattert.

Felles for alle slike opplysninger er at de personlige, du skal selv bestemme over dem og helsepersonell har taushetsplikt om denne typen opplysninger.

Stadig flere helseopplysninger registreres i elektroniske duppeditter og applikasjoner på mobiltelefoner. Mange er også avhengige av medisinsk utstyr som er tilkoblet internett og gjør løpende målinger. Disse gir, enkelt sagt, direkte behandling basert på målingene. Eksempler på slik utstyr er insulinpumper og pacemaker.

Elektroniske duppeditter, applikasjoner og medisinsk utstyr kan hackes dersom datasikkerheten ikke er god nok. Hackerne får da tilgang til helseopplysninger om deg. I noen tilfeller kan de også fjernstyre medisinsk utstyr. Dette kan få fatale konsekvenser.

Men er noen interessert i helseopplysningene dine?

Marie Moe snakket om dette i NRK Ekko 25.10. Moe jobber i SINTEF og har en doktorgrad i informasjonssikkerhet. Hun har blant annet forsket på hacking av pacemakere. Da hun selv fikk pacemaker meldte nemlig spørsmålet seg om disse kan hackes. Svaret er ja.

Moe sier at helseopplysninger kan være interessant for forsikringsselskaper og at opplysningene videreselges på det svarte markedet. Der er helseopplysninger verdt 10 ganger så mye som kredittkortopplysningene dine (kilde: www.reutes.com). I tillegg gjør tilgang til helseopplysninger det enklere å gjennomføre identitetstyveri.

Stadig flere opplysninger om deg finnes på internett og helseopplysningene dine er gull verdt. Dette er en klar oppfordring om at disse opplysningene må passes ekstra godt på. Om du bruker elektroniske duppedingser og applikasjoner som registrerer helseopplysninger, eller medisinsk utstyr som er koblet til internett, bør du stille spørsmål om informasjonssikkerhet til dem som leverer løsningen! Hvilke av mine opplysninger lagres? Hvor lagres de? Hvordan sikres de fra at uvedkommende får tilgang til dem? Og hvor lenge lagrer dere mine helseopplysninger?

Samtidig må leverandører og helseforetak passe godt på helseopplysninger som enkeltpersoner gir til dere! De har tillit til at opplysningene er trygge hos dere, og i systemene og maskinene dere bruker. Denne tilliten er avgjørende for at folk vil dele sine helseopplysninger!

Vi lever i dag i et informasjonssamfunn hvor vi i større og større grad ønsker kontroll på, og informasjon om, egen helse. Vi registrerer trening i én app, matinntak i en annen og undersøker føflekkene våre i en tredje. Ønsket om informasjon om helse gjør også at flere ønsker å benytte seg av genetiske selvtester. Men hva skjer med opplysningene om deg når du sender en spyttprøve til det genetiske selvtestselskapet 23andMe?

Genetikkens ord og uttrykk

Genetikkens ordbruk er ganske utilgjengelig for folk flest. Vi vil derfor gi en kort oversikt over de viktigste begrepene før vi går nærmere inn på spørsmålet om hva som skjer med opplysningene dine.

Alle kroppens celler har en cellekjerne. I cellekjernen ligger arvestoffet, bedre kjent som DNA-et. Halvparten av arvestoffet kommer fra mor, og halvparten fra far. DNA-et ligger i en dobbelkjedet tråd som er kveilet sammen. Til sammen består den av 46 kromosomer, som hører sammen i 23 kromosompar.

Mellom DNA-trådene ligger basene, som er kalt adenin (A), cytosin (C), guanin (G) og tymin (T). Basene ligger to og to mellom DNA-trådene. Rekkefølgen er unik for hver og en av oss. Rekkefølgen av basene heter sekvens, og når sekvensene leses av kalles det å sekvensere.

Et gen er en bit av DNA-tråden som gir oppskriften på et bestemt protein. Til sammen har vi om lag 20 000 gener! Kort fortalt er mennesket bygget opp av protein, og genene gir bruksanvisningen på hvordan vi skal bygges opp.

Hele DNA-et utgjør til sammen genomet. Av hele denne massen er det bare omtrent en eller to prosent som utgjør genene dine, og som gir dine unike egenskaper. Genene ligger i eksomet og forteller blant annet om du er disponert for sykdommer, om musklene dine egner seg for spurt eller langdistanseløping, hvordan en bestemt medisin vil virke på deg, eller hvilke personlighet du har.

Når man leser av genomet, kalles det genomsekvensering. Når man leser av eksomet, altså genene dine, kalles det eksomsekvensering.

Gentester

En gentest er en analyse av arvematerialet som sier noe om dine arveegenskaper. Gentesten kan sekvensere enten hele genomet, eller bare eksomet. Ved å tolke sekvensen, kan man for eksempel diagnostisere sykdom og forutsi (predikere) risiko for utvikling av sykdom i fremtiden. En gentest kan også gi informasjon om dine personlige egenskaper. Kort fortalt kan en gentest fortelle deg om du burde løpe langt eller kort, hvordan du forbrenner koffein, om paralgin forte faktisk virker på deg og hvor stor risiko du har for å utvikle forskjellige sykdommer.

Fordi genetiske opplysninger sier noe om din personlighet og din helse, er genetiske opplysninger ansett som personopplysninger.

I Norge er bruk av gentester strengt regulert i bioteknologiloven og brukes for diagnostisering og prediktive undersøkelser i helsevesenet. All testing krever genetisk veiledning som skal gjøre deg i stand til å ta stilling til om du faktisk vil ta testen og til å forstå resultatene.

Det er ikke lov å tilby genetiske selvtester i Norge. Genetiske selvtester tillates imidlertid i en rekke andre land. Hvilke helseopplysninger selskapene har lov til å gi til kunden, varierer. Vi har tatt utgangspunkt i et av de mest kjente selskapene, 23andMe. Tidligere ga selskapet informasjon om sykdom, risiko for en rekke sykdommer og personlige egenskaper. Det amerikanske Food and Drug Administration (FDA) har imidlertid bestemt at 23andMe ikke kan gi diagnostisk eller prediktive informasjon. I dag får du derfor kun opplysninger om ditt opphav og om du er bærer av en rekke, nærmere definerte, sykdommer.

Før du gjennomfører en genetisk selvtest er det viktig å undersøke hvilke informasjon den vil gi deg, og ikke minst om det er informasjon du faktisk ønsker å motta.

Hva gjør selskapet med dine genetiske opplysninger?

La oss si at du sender en spyttprøve til 23andMe og får tilbake opplysninger om hvor mye av arvematerialet ditt som stammer fra neandertalerne, at forfedrene dine kom vandrende fra Asia og at du har en onkel i Amerika som ingen snakker om, hvis arvemateriale allerede finnes i databasen. Sletter da 23andMe opplysningene når du har mottatt dem?

For å finne ut hvordan 23andMe bruker dine genetiske opplysninger, må du lese gjennom Privacy statement, Terms of Service, Biobanking Consent Document og Research Consent Document. Til sammen utgjør disse dokumentene i underkant av 40 sider.

Eller, må og må. Du kan hake av for «I accept» uten at du har lest gjennom alle dokumentene. Men da har du kanskje samtykket til mye mer enn du egentlig hadde tenkt til. Vi skal gi en kort oppsummering av hva du kan ha samtykket til, om du bare haker av for «I accept» uten å tenke mer over det.

Det selvsagte er at du samtykker til at 23andMe analyserer og gir deg informasjon de har lov til å gi deg. Men du samtykker også til at personopplysningene brukes til å utvikle produktene selskapet tilbyr og til å vurdere om du er en passende kandidat for forskningsprosjekter.

Du kan også samtykke til at de lagrer spyttprøven din i minimum ett år og maksimum 10 år. I begge tilfeller vil 23andMe bruke nye analysemetoder når slike blir tilgjengelige, og de kan bruke dine genetiske opplysninger i forskningsprosjekter. 23andMe jobber for å få lov til å gi flere helseopplysninger til sine kunder, og det er grunn til å tro at kundene derfor kan få flere opplysninger etter hvert som 23andMe får tillatelser.

Du kan også samtykke til å delta i forskningsprosjekter. Da kan 23andMe bruke dine genetiske opplysninger og de opplysningene du har oppgitt i brukerkontoen din, som helsestatus, opphav, seksuell legning og ligningene, i egne forskningsprosjekter eller i prosjekter som skjer i samarbeid med farmasøytiske selskaper, universiteter og andre. 23andMe undersøker om du kan være aktuell for de ulike forskningsprosjektene, og innhenter nytt samtykke fra deg for hvert prosjekt. Prosjektene må godkjennes av en nasjonal forskningsetisk komité.

Uten ditt spesifikke samtykke, kan selskapet dele informasjon med sine datterselskaper, morselskap og andre selskap som er eid av morselskapet. Utlevering til andre felleseide selskaper, krever samtykke. Vi har ikke undersøkt selskapsstrukturen fullt ut, men vi nevner likevel at Google Ventures har investert store summer i 23andMe. Vi kan bare spekulere i hvilke muligheter som åpner seg for Google dersom de får tilgang til opplysninger fra den genetiske databasen til 23andMe.

23andMe kan også gi deg informasjon om slektskap. Da sammenlignes ditt DNA med DNA til de andre som er registrert i databasen, og du får beskjed dersom de finner noen som matcher ditt DNA. Dersom du samtykker til å delta i dette programmet, vil ditt DNA bli lagret i databasen slik at det kan sammenlignes etter hvert som flere kommer til.

Det er positivt at 23andMe baserer seg på at kundene må samtykke til at selskapet kan bruke de genetiske opplysningene, og andre opplysninger som kundene gir, til for eksempel forskning eller slektskapsdatabase. De fleste av oss kan vel være enige i at det er lett for at vi hopper over 40 sider med brukervilkår og går rett til «I accept». Den korte gjennomgangen over viser at det kan få store konsekvenser for deg dersom du samtykker til alt uten at du har satt deg inn i informasjonen. Når det gjelder genetiske selvtester, er det derfor ekstra lurt å gjennomgå alle opplysningene på forhånd. I tillegg bør alle tenke gjennom om du ønsker at dine unike genetiske opplysninger skal brukes i forskning, eller om du har lyst på ny helseinformasjon etter hvert som 23andMe får tillatelser til å gi dette, eller om du faktisk ønsker å vite om slektninger du ikke visste du hadde.