Personvernundersøkelsen 2024, utført av analyseselskapet Opinion på vegne av Datatilsynet, gir innsikt i dette spørsmålet.

Kjenner folk flest sine rettigheter?

En viktig forutsetning for at vi skal kunne ta vare på rettighetene våre er at vi kjenner til dem. Kjenner den norske befolkningen egentlig til sentrale rettigheter i personvernregelverket?

De aller fleste har hørt om retten til informasjon om hva en virksomhet samler inn, innsyn i personopplysninger, retten til å slette og at det i blant er lov å protestere mot bruk. Det er et godt utgangspunkt. Det betyr, i det minste i teorien, at de har noen verktøy de kan bruke når de føler at opplysningene ikke blir brukt i tråd med forventningene.

Opplever folk at de har kontroll?

Når så mange har kjennskap til sentrale rettigheter i personvernregelverket – betyr det at folk flest opplever at de har kontroll over hvordan personopplysningene deres brukes på internett?

Svaret på det spørsmålet er mer sprikende. Det er flest som velger «verken eller» på påstanden om opplevd kontroll, noe som kan tyde på at mange er usikre, eller at graden av opplevd kontroll er avhengig av hvilken tjeneste det er snakk om. Totalt sett er det flere som føler at de i svært liten eller liten grad har kontroll, enn som føler at de har stor eller svært stor grad av kontroll.

Undersøkelsen viser også at eldre mennesker i større grad enn yngre oppgir å ha kontroll over personopplysningene sine. Dette kan ha en sammenheng med at de trolig bruker færre tjenester på internett enn sine yngre, mer digitalt avanserte landsmenn. Jo flere tjenester som samler inn opplysninger, desto mer krevende kan det være å ta kontroll over opplysningene sine. Variasjonen i svarene kan også henge sammen med graden av tillit til de ulike tjenestene. Undersøkelsen viser at nordmenn flest har tillit til at offentlige virksomheter og banker behandler opplysningene deres på en god måte, mens kommersielle tjenester som sosiale medier og spill ikke nyter den samme tilliten.

Forstår folk flest hva som samles inn om dem?

De fleste har altså kjennskap til personvernrettighetene sine, men mange opplever at de ikke har kontroll over personopplysningene sine. En forutsetning for å kunne ta kontroll er å i første instans forstå hva de ulike virksomhetene samler inn av informasjon. I undersøkelsen har vi bedt respondentene ta stilling til om de forstår hva som samles inn gjennom ett av mange eksempler på sporingsteknologi vi omgir oss med, nemlig informasjonskapsler.

Informasjonskapsler er sporingsteknologi som vi som brukere stadig blir bedt om å ta stilling til. Hva skal virksomheten få lov til å samle inn? Kapslene brukes til å huske informasjon om de som besøker et nettsted, slik som foretrukne innstillinger eller innloggingsdetaljer, som gjør det enklere å bruke tjenesten. Andre kapsler kartlegger i detalj hvilke sider brukerne besøker, hvor lenge de er der og hva de gjør.

Det er flere som sier at de ikke forstår, enn som forstår, hva de bes om å ta stilling til når et nettsted ber om samtykke til å samle inn opplysninger om dem. Vi stilte også et oppfølgingsspørsmål om i hvilken grad folk flest tenkte seg om før de valgte innstilling. Selv blant de som tenker seg om sier halvparten at de fortsatt ikke forstår hva virksomheten ber om å få samle inn av opplysninger. Dette indikerer at det er vanskelig å få en oversikt over hva som samles inn om oss når vi besøker ulike nettsteder. Og jo flere nettsteder vi besøker, desto vanskeligere er det å opprettholde en oversikt, og dermed også å ha kontroll over egne personopplysninger.

Undersøkelsen viser også at mange av de som forstår hva virksomhetene ber om å få samle inn ikke har kontroll over personopplysningene sine. Resultatet gir sterke indikasjoner om at det er vanskelig å ha oversikt over sporingen som foregår på internett, og at det oppleves som vanskelig å ta kontroll over egne personopplysninger.

Det kan altså se ut som at det ikke er mangelen på kunnskap som hindrer oss fra å ta kontroll over personopplysningene våre, men at det snarere er måten de samles inn på og brukes som er vanskelig å få oversikt over. Uten reelle verktøy for å ivareta rettighetene våre, ligger vårt personvern i stor grad i virksomhetenes hender.

2023 har vært et sammenhengende gjennombrudd for generativ kunstig intelligens, og «KI-generert» er årets nyord. Verktøyene er både artige og nyttige, men utfordrer også personvernet. Vi markerte dagen med et arrangement om tematikken, og løfter her frem noen høydepunkter fra dagen.

Hva skjedde i 2023?

Med Open AI ble generativ KI allemannseie og representerer denne generasjonens viktigste teknologigjennombrudd. Mange mener at hemmeligheten bak suksessen ligger i at modellen oppleves menneskelig når du bruker den. Det ligger dessuten stor variasjon av muligheter i store språkmodeller, fra å lage chatbots og programmeringskode til å skape kunst og oversette tekster, for å nevne noe.

Denne kraftige teknologien har også noen skyggesider knyttet til de enorme datamengdene modellen er trent på, slik som manglende åpenhet og potensial for misbruk av ondsinnede aktører. Som konsekvens krevde 1000 eksperter et midlertidig forbud, og idet italienske datatilsynet påla OpenAI om å stanse all behandling av data fra italienske brukere, kunne direktør i Datatilsynet, Line Coll, fortelle.

Av andre saker med stor betydning i 2023 trakk Line frem følgende:

• EU-U.S. Data Privacy Framework: Et nytt avtaleverk som gjør det mulig å overføre personopplysning mellom EU og USA.   
• Meta-saken: Datatilsynet fattet et vedtak om at Metas behandling av personopplysninger for adferdsbasert markedsføring var ulovlig på Facebook og Instagram.
• Barns personvern neglisjeres: Amazon fikk bot for å lagre taledata gjennom Alexa og klokker som primært brukes av barn. TikTok fikk bot for ikke å ha godt nok personvern for mindreårige. I Norge har strømming av barneidrett vært en het potet.

Trender i 2024

Direktør i Teknologirådet, Tore Tennøe, gikk gjennom noen trender og forsøkte å se inn i personvernets umiddelbare fremtid. Det knyttes blant annet stor interesse til bruken av ansiktsgjenkjenningsteknologi i tiden fremover, som for eksempel under OL i Paris. Skal man kunne gjenkjenne ansikter, eller bare posisjoner og mistenkelige objekter? Diskusjonen aktualiserer etterretningsbehov mot retten til privatliv.

AI Act er nylig vedtatt, og blir et avgjørende rammeverk for utviklingen av KI fremover, også med hensyn til bruken av biometri, som i ansikts- og følelsesgjenkjenningsteknologi.

2024 markerer antakeligvis begynnelsen på slutten på den opprinnelige overvåkingsteknologien – informasjonskapselen. Google vil kutte det ut i sin nettleser Chrome i løpet av 2024.

Nysgjerrig på å se dypere inn i spåkula? Se opptaket! (link nederst i dette blogginnlegget).

Kan man trene språkmodeller med data fra nettet?

I utviklingen av Open AI ble det brukt enorme mengder data fra en stor variasjon av kilder. Selskapet er sparsomme med å fortelle hvor de har hentet data fra. Tore viste imidlertid en analyse av et snapshot som viste kilder som sosiale medier, nettsider, elektroniske bøker, et valgregister og personlige blogger. Både Google og Open AI har fått søksmål mot seg grunnet denne typen praksis.

Det sentrale i en personvernsammenheng er at man må ha et lovlig behandlingsgrunnlag for å kunne behandle personopplysninger. Vi diskuterte behandlingsgrunnlaget «berettiget interesse», og i hvilken grad dette kan brukes til å innhente data. Det er flere saker knyttet til dette i Europa nå.

Behandlingsgrunnlag er altså nøkkelen, også til andre modeller innen ulike domener som for eksempel finans, utdanning og helse. Dataene får stadig nye formål, og utfordrer eksempelvis både pasientenes og de ansattes rett til personvern. Her er det noen utfordringer. Skal man spørre om samtykke igjen? Hva gjør man med de som sier nei? Bør man heller anonymisere eller bruke syntetiske data?

Kunstig intelligens og personvern i den virkelige verden

Eivind Arntsen er advokat og leder av Juridisk ABC, en tjeneste basert på generativ KI som skal gjøre det enklere for arbeidsgivere å manøvrere riktig innenfor arbeidsrett. De ønsker å tilpasse tjenesten med å gi den tilgang til dommer og lovtekst, noe som utgjør deres primære utfordring. Juridisk ABC er for øvrig ett av fire prosjekter i Datatilsynets regulatoriske sandkasse våren 2024.

Umair M. Imam er sjef for data og KI i Ruter, og har erfaring med å bruke KI i et titalls prosjekter i Ruter. De bruker for eksempel generativ KI for å analysere klager. Brukere deler ofte data om seg selv i disse klagene, noe Ruter løser ved hjelp av en algoritme som «gjemmer» persondataene.

Julie Lødrup er førstesekretær i LO, og benyttet anledningen til å løfte frem prinsippet om arbeidstakeres rett til medbestemmelse. Den fungerer stort sett godt på alle felt i det norske arbeidslivet, unntatt ett: digitalisering. Hun mener dette skyldes at både arbeidsgivere og arbeidstakere anser teknologi generelt, og kanskje KI spesielt, som noe vanskelig og som kun angår teknologene. De som skal bruke teknologien bør involveres. Hun fremhevet også utfordringen med at teknologien som anskaffes ofte er laget i land med andre arbeidsmodeller som ikke er like opptatt av arbeideres rettigheter. Om programvaren har funksjonalitet som gjør det mulig å overvåke de ansatte, kan det være lett for arbeidsgiver å la seg friste.

Er politikken tilpasset terrenget?

På fjorårets personverndag ble en nasjonal personvernpolitikk diskutert, og i år fulgte vi opp med siste status i politikken. I løpet av sommeren 2024 skal en ny digitaliseringsstrategi og en ny personvernstrategi være ferdig, og de to skal henge tett sammen, fortalte statssekretær Gunn Karin Gjul (Ap). For å unngå at denne politikken ender opp med kun strategier og lite handling, ønsker Grunde Almeland (V) en mer demokratisk forankret stortingsmelding på temaet.   

En annen stor sak er KI-forordningen (AI Act), som vil treffe stortinget gjennom lovgivning. Gjul orienterte om at dette er EØS-relevant, og at myndighetene er i gang med dette arbeidet allerede. Det er ikke bestemt hvordan dette skal organiseres, og Digitaliserings- og forvaltningsdepartementet har gitt DFØ i oppdrag å utrede mulige organisatoriske systemer som algoritmetilsyn, overordnet tilsyn og rapporteringsordninger.

Avslutningsvis spurte Tore, på vegne av en venn, om det er greit å ha en KI-kjæreste. Panelet var enige om at det måtte være opp til den enkelte, men med ett premiss: at leverandøren av KI-kjæresten opererer innenfor loven. Og det skal vi hjelpe dem med, rundet Line av med. 

Se opptak av hele arrangementet på Datatilsynets nettsider.