Vi får jevnlig mange henvendelser fra personer som er usikre på reglene for egen bruk av kamera eller som opplever å bli urettmessig overvåket. Det er blitt svært enkelt å skaffe kamera i butikker og på nettet, men det er noen regler du bør huske på hvis du skal sette opp kamera utenfor eget hus eller hytte. Vi gir deg derfor her noen gode råd på veien.

(Denne teksten tar blant annet utgangspunkt i Aftenpostens sak «Økt bruk av overvåkingskameraer skaper nabokonflikter. Dette må du vite.» Saken er bak betalingsmur. )

Vi starter med det viktigste du må huske på hvis du vurderer å montere overvåkningskamera på din egen eiendom:

1. Pass på å ikke fange inn annet enn egen eiendom
2. Ikke del opptak på internett uten samtykke
3. Vis hensyn selv om du har rett til å bruke kamera

Hvis du passer på å følge disse punktene, har du allerede kommet langt i de aller viktigste vurderingene som du må gjøre når du setter opp kameraet.

Vi anbefaler også at du ser gjennom kameraveiledningen vår som setter deg nøye inn i regelverket. Den gir deg også eksempler på hva som er greit og ikke greit. Selv om veiledningen først og fremst er rettet mot virksomheter, finner du også råd for deg som er privatperson.

Hva med filming, skilting og private opptak?

Det er mye usikkerhet rundt regelverket på dette området. I fjor mottok veiledningstjenesten vår 326 henvendelser om kameraovervåking av private boliger og hytter, og vi ser at vi nærmer oss samme antall i år. Til nå i år har vi dessuten fått inn 28 klager om temaet, og vi har registrert rundt 180 tips fra enkeltpersoner om kameraovervåking på privat eiendom. Her er noen av spørsmålene som går igjen i henvendelsene til oss:

Hva kan jeg filme lovlig?
Du kan sette opp kamera på egen eiendom slik som ved hus, hage og hytte. Det er da viktig å være oppmerksom på at du ikke kan filme mer enn egen eiendom slik som naboens tomt, offentlig vei, inngangen til leietagere eller andre steder på eiendommen der andre har bruksrett.

Må jeg skilte og informere når jeg har privat kamera, og hvem skal varsles?
Som privatperson har du ikke plikt til å sette opp skilt hvis du bare overvåker utenfor eget hus eller hytte. Her bør du imidlertid tenke deg godt om. Det kan være lurt å informere godt for å unngå misforståelser, og for å vise hensyn overfor gjester og andre besøkende. Alle har rett på privatliv, og personvern er en menneskerett som gjelder både for barn og voksne. 

Skjult overvåking inne i privat hjem kan imidlertid rammes av bestemmelser i straffeloven og vil vanligvis ikke være tillatt, så her er informasjon viktig.

Er det noen forskjell på hvilke regler som gjelder hvis jeg setter opp et privat kamera selv, enn hvis jeg har kamera gjennom et alarmselskap?  
Du har ansvar for å holde deg innenfor reglene, altså kun å overvåke egen tomt, selv om du bruker et alarmselskap. I tillegg må alarmeselskapet følge egne regler for lagring og tilgang til opptak.

Hvor lenge kan jeg lagre opptak?
Hvis du overvåker eget hus eller hytte, gjelder som hovedregel ikke personvernregelverket. Det betyr blant annet at du ikke har plikt til å slette opptakene.

Er det lov å dele film i sosiale medier eller nabolagsgrupper?
Det er som hovedregel ikke lov å dele kameraopptak av andre. Dersom du skal dele bilder, film eller lydopptak av en annen person, må du be om samtykke fra de som er på opptakene før de publiseres. Du kan lese mer om deling av bilder og samtykke på nettsidene våre.

Hva skjer hvis du bryter personvernreglene – hvilke reaksjoner risikerer du?
Datatilsynet har ulike muligheter for sanksjoner, for eksempel vedtak om brudd på loven, og pålegg om stans. Dersom overvåkingen er skjult eller på andre måter krenker privatlivets fred, kan den også anmeldes til politiet som har egne sanksjonsmuligheter.

Hva gjør du hvis du opplever å bli ulovlig overvåket av naboen eller på fellesarealer?
Vi i Datatilsynet er opptatt av at du skal si klart ifra hvis du opplever å bli urettmessig overvåket. Snakk med den som har satt opp kameraet først. Det er viktig å si ifra til de som eventuelt filmer og publiserer slik at det fort kan ryddes opp i.  Alle kan dessuten sende inn tips eller klage til Datatilsynet. Saker kan også tas til Konfliktrådet eller Politiet.

Du finner informasjon om hva du kan gjøre hvis du opplever ulovlig kameraovervåking på nettsidene våre. Alle som trenger råd er, også velkommen til å ta kontakt med veiledningstjenesten vår som holder åpent alle hverdager.  

Og til slutt litt om droner…

Nå i disse dronetider får vi også mange spørsmål fra både presse og andre. Når du flyr drone som privatperson og på hobbybasis, må du huske på at din aktivitet potensielt kan virke invaderende for andre mennesker og at du har plikt til å ivareta personvernet deres. Det er altså ikke forbudt å fly drone som lek eller hobby, men det er viktig at du alltid tar hensyn til personvern når du flyr.

Du bør aldri ta bilder, video eller lydopptak av andre mennesker i deres hjem eller i deres hage uten tillatelse fra de som blir avbildet. Du som flyr dronen må altså ta hensyn til at andre kan føle seg overvåket, og du bør være åpen og gi informasjon til de som spør. Les mer i veiledningen vår: Droner – hva er lov?

I innlegget forteller Jansen om systematiske og grusomme handlinger som norske romer har vært utsatt for opp gjennom historien.

Romminoriteten er en av de mest diskriminerte gruppene, og romer møter i dag mange utfordringer i samfunnet. Vi forstår godt at saken om politiets kartlegging har skapt sterke reaksjoner. Datatilsynet valgte derfor å opprette en tilsynssak for å undersøke om politiet hadde behandlet informasjonen i samsvar med personvernregelverket.

Lovgiver har gitt politiet vide rammer til å behandle personopplysninger om oss som innbyggere. Det er for å forebygge og bekjempe kriminalitet. Dette innebærer blant annet at politiet i noen tilfeller har lov til å behandle opplysninger om personer som ikke selv er mistenkt for å drive med kriminell virksomhet. I denne saken konkluderte vi med at politiets behandling av personopplysninger var innenfor lovens rammer. Det ligger imidlertid utenfor vårt ansvarsområde å ta stilling til hvordan politiet jobber opp mot ulike grupper og minoriteter i samfunnet.

I Datatilsynet jobber vi spesielt med beskyttelse av sårbare gruppers personvern, det er kjernen i vår virksomhet. Sensitive personopplysninger som etnisitet kan aldri i seg selv danne grunnlag for registrering hos politiet. Det er viktig for oss å understreke.

Alle enkeltpersoner som mener at politiet har behandlet personopplysninger om dem i strid med politiregisterloven, kan klage til Datatilsynet eller begjære at vi gjennomfører en kontroll på vegne av den registrerte. Hvis vi får klager eller begjæringer om dette, vil vi selvfølgelig behandle disse individuelt og foreta konkrete vurderinger i hver enkelt sak.

Generativ AI: Trussel eller mulighet?

Mange av dataene som brukes til å trene opp Generativ AI, inneholder personopplysninger. Disse opplysningene er hentet inn fra ulike kilder på internett. Teknologien kan gi tilsynelatende gode svar, men også gi villedende og feil svar. Generativ AI er i stand til å skape realistiske bilder, videoer, og tekster, noe som gjør det enda enklere å produsere og spre desinformasjon og falske nyheter, noe som har blitt en utfordring for demokratier og samfunn over hele verden. 

Dette er tema for det første arrangementet som vi deltar på i år, og er i regi av Mediaklyngen/Media City Bergen.

Personvern er politikk

Spørsmål om personvern berører alle samfunnsområder. Personvernkommisjonens rapport fra sist høst ble fulgt opp i år med mange høringsuttalelser. Vi var ikke snauere enn at vi leverte fra oss et 16 siders høringssvar med tiltak som vi mener at det er avgjørende å følge opp. Vi er som kommisjonen tydelige på at vi trenger en nasjonal personvernpolitikk. Nå.

Datatilsynet starter derfor uka med sterk tilstedeværelse på KiNS sitt arrangement Nasjonal personvernpolitikk – Hvorfor det og hvordan? Line Coll debuterer under Arendalsuka i år som direktør for Datatilsynet, og er med på å diskutere hvordan vi kan løfte fram en nasjonal personvernpolitikk.

Etter vårt syn er det mye moden frukt å plukke fra Personvernkommisjonens rapport. En av de mest overmodne, er oppfølgingen av personvernet i skole og barnehager. Seksjonsleder Camilla Nervik gir gode råd til aktiv handling når Strategi for digital kompetanse og infrastruktur i barnehage og skole skal følges opp på Arendalsuka under programposten Personvern i oppvekstsektoren, også i regi av KiNS.

Hvis du ikke klarer å vente helt til midten av august, kan du lytte til én av våre podkast-episoder som diskuterer nettopp skole og personvernpolitikk. Episoden er for øvrig del av en podkastserie under tilsynets podkastsatsing «Personvernpodden» som følger opp personvernkommisjonens rapport. Der du hører podkast. 

Digitalisering av offentlig og privat sektor. Igjen.

Regjeringen skal meisle ut en ny digitaliseringsstrategi. Strategien skal «stake ut kursen for videre digitalisering av offentlig sektor, legge bedre til rette for næringslivsrettet digitalisering og ta opp viktige samfunnsspørsmål.» Personvern er et soleklart viktig samfunnsspørsmål i så måte. Personvernkommisjonen peker på at utvikling av ny teknologi skjer raskt og uten at vi alltid har full oversikt over konsekvensene. Inngripende teknologi blir fort normalisert og allment akseptert, og personvernet svekkes gradvis. Dette er problemstillinger som må inn i strategien, og som må diskuteres i den offentlige samtalen.

Avdelingsdirektør Veronica Jarnskjold Buer stiller til debatt under vignetten Er regelverk for bruk av data i ferd med å kvele digitaliseringen av Norge?

Skal barnas fritid legges ut på nettet?

Vårt eget hovedarrangement i år tematiserer én av vårens store debatter, nemlig strømming av barneidrett. De siste årene har stadig flere arrangementer for barn blitt filmet og lagt ut på nettet, en utvikling som skjøt fart under koronapandemien. Slik praksis kan være til nytte og til glede for mange, men det er også flere som melder sine bekymringer for at stadig flere idrettsarrangementer filmes og publiseres. Ivaretar vi barns rett til personvern hvis også fritidsaktiviteter filmes og gjøres tilgjengelig for allmenheten? Vi har nylig publisert veilederen  Strømming av idrettsarrangement for barn som aktualiserer ulike spørsmål.

I panelsamtalen En uforglemmelig barndom eller en barndom du helst vil glemme? En debatt om strømming av barneidrett belyses spørsmålet fra ulike aktører som har vært sentrale i den offentlige debatten. Vi gleder oss.

Kunstig intelligens i forvaltningen – et spørsmål om tillit

På torsdag plukker vi igjen opp digitaliseringsstrategien, og er med i debatten Hva skjer med tilliten til staten, hvis vi lar kunstig intelligens fatte beslutninger i saksbehandling? Arkivverket spør klokelig «hvem har ansvaret for konsekvensene av en beslutning som er truffet av kunstig intelligens? Et bredt panel skal forsøke å svare, og vår egen direktør deltar.

Skal politiet få lete i din slekt?

Og til slutt: Vi vet alle at DNA sier svært mye om oss, og kan løse mange saker. I et prøveprosjekt har Politiet nå prøvd ut nye verktøy, slik som søk i internasjonale slektskapsdatabaser i kombinasjon med slektsforskning. Men bør virkelig Politiet ta i bruk de nye DNA-metodene når prosjektet er klart? Og hvilke begrensninger bør man eventuelt sette inn hvis politiet skal få lete i din slekt?

Camilla Nervik deltar i debatten DNA løser gamle krimsaker – skal politiet få lete i din slekt?, sammen med både Kripos og en kjent krimforfatter. Det blir spennende!

God Arendalsuke til alle, og husk at du kan følge med digitalt på mange av arrangementene så å si hvor enn du er i verden.

Se ellers vår oversikt over arrangementer som Datatilsynet deltar på eller les mer på Arendalsuka sine nettsider.

Om lag 20 prosent av befolkningen er under 18 år. Dagens digitale virkelighet er at persondata samles inn, analyseres, deles, gjenbrukes, selges og kjøpes i et tempo som det er umulig å ha oversikt over – aller minst for barna selv.

Men hvem har ansvaret for hva som skjer med barnas opplysninger i skolen? I utgangspunktet er det den enkelte kommune og skole som er ansvarlig for å vurdere digitale løsninger som tas i bruk. Dette er imidlertid en svært krevende jobb, særlig for små kommuner. Natalia Kucirkova og Trond Furenes Ingebretsen har mange gode poenger i sin kronikk i Aftenposten om behovet for tryggere digitale læremidler i skoler og innebygget personvern. Datatilsynet mener, i likhet med forfatterne, at det er på høy tid med en tydelig strategi og samordning på nasjonalt nivå. Vi løper en stor risiko ved å overlate vurderingene til hver enkelt kommune.

Vi trenger en samlet nasjonal strategi som hever blikket, kartlegger terrenget og aktørbildet, og ansvarliggjør allede relevante aktørene.

Store utfordringer i skolen

Mange kommuner bruker Google sine løsninger i grunnskolen. Foresatte melder stadig inn personvernbekymringer til Datatilsynet. Vi har tidligere sett nærmere på tre kommuner som har tatt i bruk Google Chromebook og Workspace, og det ble avdekket betydelige mangler. Kommunene fikk en irettesettelse fordi de ikke hadde god nok  oversikt over hvilke data som samles inn og hva de brukes til. Informasjonen til foresatte var også mangelfull. Etter disse sakene  laget vi veiledning med tips og råd til nytte for alle kommuner. Men vi er langt fra i mål. Problemstillingene i disse sakene viser trolig bare toppen av isfjellet.

Vi ser at Helsingør kommune har nedlagt forbud mot bruk av Workspace i skolen. Det danske datatilsynet fant ut at kommunen ikke hadde gjort en grundig nok risikovurdering av hva som ville skje med elevenes personopplysninger ved bruk av løsningen. Saken er en betimelig påminnelse om hvor viktig det er å gjøre gode nok vurderinger med tanke på de unges personvern. I dag er det hver enkelt kommune og skoles ansvar å gjennomføre risikovurderinger. Det krever mye ressursbruk. Mye av forarbeidet bør kunne gjøres samlet, og så kan kommunene selv kvalitetssikre og gjøre vurderinger basert på deres situasjon.

Ønsker sterkere regulering

Vi er mange som ønsker en sterkere regulering, og i Europa er det bevegelse. Med Digital Service Act innføres et forbud mot å målrette markedsføring til barn basert på profilering av dem. Det kan potensielt påvirke datainnsamlingen i positiv retning. Samtidig er det ikke gitt at dette løser alt. Det kan være at virksomhetene fremdeles vil samle inn dataene til andre formål eller at de kan finne på å lagre dem til barna fyller 18 og så bruke det til markedsføring.

Til sammen bruker skolene mange tusen ulike fagsystemer, digitale læremidler, apper og ulike kommunikasjonsløsninger hver eneste dag. Dette er systemer som samler inn store mengder opplysninger om elevene, og om lærerne. Persondataene blir raskt gjenstand for det enorme annonsemarkedet som flere selskaper baserer sin forretningsmodell på.

Det er et tankekors at det offentlige i så stor grad er med på å sende ut data om barna våre til andre aktører og andre land, uten at det er gjort en god nok vurdering av hva som skjer med personopplysningene deres. Vi trenger en samlet nasjonal strategi som hever blikket, kartlegger terrenget og aktørbildet, og ansvarliggjør allede relevante aktørene.  Rett før sommeren fikk kunnskapsminister Tonje Brenna overlevert en rapport fra en ekspertgruppe om digital læringsanalyse. Rapporten belyser dilemmaer i møtet mellom digitale læremidler og utdanning. Personvern bør komme sterkt inn i bildet i regjeringens videre arbeid med digitale løsninger i skolen.

Denne kronikken ble publisert av Aftenposten 28. juli 2022

—-

Personvern i skolen er noe Datatilsynet har vært opptatt av i mange år. Tidligere direktør Bjørn Erik Thon var engasjert i mange ulike problemstillinger, og holdt flere foredrag og skrev en rekke innlegg om temaet. Allerede i 2020 sa han: Datatilsynet mener det haster med å få på plass en nasjonal strategi for personvern og sikkerhet i grunnskolen og videregående skole i Norge. Vi har ingen tid å miste. Et godt læringsmiljø og en trygg skolehverdag i 2020 betyr også at våre barns personopplysninger behandles på en forsvarlig og trygg måte, i tråd med regelverket.

Her er noen lenker, god lesing!
En trygg digital oppvekst – Personvernbloggen

Foreldrenes rolle i barnas digitale liv – Personvernbloggen

Digitaliseringen av skolesektoren krenker elevenes personvern – Personvernbloggen

Det er alltid en morsom utfordring å navigere blant de mange hundre arrangementene som går av stabelen. Ofte er det beste trikset å stikke innom tilfeldige debatter. Selv har jeg fått mange øyeåpnere ved å gjøre dette. Likevel, personverntematikk er og blir en favoritt. Hvorfor? Jo, fordi det reiser så mange interessante spørsmål om hva slags samfunn vi vil ha. Hvilke muligheter og dilemmaer ser vi i den teknologiske utviklingen, og hvordan kan personvernprinsippene diskuteres og interesseavveies på ulike måter?

I denne lille oversikten ser du hva Datatilsynet er med på i år. Men husk at ting endrer seg raskt, så sjekk gjerne lenkene under hver programpost for siste, oppdaterte informasjon. Der finner du også lenker til strømming – du trenger ikke være på Sørlandet for å oppleve en uke med debatter og politiske posisjoneringer.

Tirsdag 16. august kl. 8-9: Når algoritmer saksbehandler: Hvordan hindre diskriminering ved bruk av kunstig intelligens i offentlig sektor?

Arrangør: Likestillings- og diskrimineringsombudet (LDO) og Datatilsynet
Sted: Frivillighetsteltet

Algoritmene kan hjelpe til med å gi undervisning som er tilpasset hvert enkelt barn. De kan predikere og forhindre hjertesvikt, og de kan hjelpe med å få sykemeldte fortere tilbake i jobb. Kunstig intelligens er på full fart inn i offentlig sektor. Hvordan sørger vi for at teknologien bidrar til en mer rettferdig og mindre diskriminerende offentlig sektor – heller enn det motsatte? Hvem skal holde algoritmene i øra, og hvordan skal det gjøres?

Panelet består av leder for Datatilsynets regulatoriske sandkasse  Kari Laumann, likestillings- og diskrimineringsombud Bjørn Erik Thon, byråd for helse, eldre og innbyggertjenester i Oslo kommune Robert Steen , og politisk rådgiver i Amnesty  Ingrid Westgaard Stolpestad.

Panelet skal diskutere hvordan ny teknologi kan utfordre tradisjonell tankegang innen blant annet tilsyn og kontroll med offentlig sektor.

Når algoritmer saksbehandler: Å hindre diskriminering ved bruk av kunstig intelligens i off. sektor – Arendalsuka

Tirsdag 16. august kl. 12-13 Teknologisk revolusjon på arbeidsplassen – til hvilken pris?

Arrangør: Deloitte
Sted: Kirkebakken 5 (Deloitte-teltet)

Relasjonen mellom arbeidsgiver og arbeidstaker er i radikal endring og teknologi er en viktig driver. Digitalisering endrer måten vi jobber på og skaper nye muligheter, men utløser samtidig problemstillinger knyttet til personvern og etikk. Hva skal til for at nye digitale løsninger møter både arbeidsgiveres og arbeidstakeres behov på fremtidens arbeidsplass? Vi må tenke nytt om hvor, hvorfor og hvordan arbeidet gjøres.

Med Kaja Breivik Furuseth, fagdirektør i Datatilsynet, Alanna Solberg, rådgiver hos Deloitte, Cecilie Heuch, Executive Vice President, Chief People and Sustainability Officer i Telenor, Elisabet Haugsbø, ivsepresident i Tekna, Nina Melsom, direktør for arbeidsliv og tariff i NHO, Zelia Moss fra Deloitte og Bjørn Ofstad, leder for personvern hos Deloitte

Teknologisk revolusjon på arbeidsplassen – til hvilken pris? – Arendalsuka

Tirsdag 16. august kl. 14-15: Integrerte helsetjenester og digital samhandling – hvorfor har vi ikke kommet lenger?

Arrangør: Deloitte
Sted: Kirkebakken 5 (Deloitte-teltet)

Helse- og omsorgssektoren har jobbet med å få til integrerte helsetjenester i mange år, men spørsmålet er hvorfor vi ikke har kommet lenger? I denne paneldebatten rettes oppmerksomheten mot aktørene i helse- og omsorgssektoren. Hvordan kan disse praktisere effektiv samhandling til det beste for pasienter og innbyggere?

Med Camilla Nervik, seksjonssjef for offentlige tjenester i Datatilsynet, Truls Vasvik, helse og omsorgskomiteen i Arbeiderpartiet, Somayeh Bach, Director and Head of Health Care Norway i Deloitte, Hanne Pernille Gulbrandsen, personvernekspert hos Deloitte og Espen Rostrup Nakstad, assisterende direktør i Helsedirektoratet.

Integrerte helsetjenester og digital samhandling – hvorfor har vi ikke kommet lenger? – Arendalsuka

Tirsdag 16. august kl. 17-18: Kan teknologigigantene tøyles?

Arrangør: Forbrukerrådet, Amnesty og Datatilsynet
Sted: Arendal kultur- og rådhus

Store plattformselskaper som Facebook og Google møter mye kritikk, og en rekke omfattende reguleringer er foreslått i Norge og EU. På dette arrangementet diskuteres rollen disse teknologien spiller i hverdagen vår, samt ny politikk og reguleringer på feltet. Debatten ledes av Espen Egil Hansen. Arrangementet er en del av hovedprogrammet.

Med Tobias Judin, seksjonssjef i Datatilsynet, Jan Christian Vestre, næringsminister, Alexandra Geese, Menber of European Parliament, Inger Lise Blyverket, direktør i Forbrukerrådet, Mali Hole Skogen, teknologi- og bærekraftedirektør i IKT-Norge, Sondre Ronander, kommunikasjonssjef hos Google Norge og Guri Melby, partileder i Venstre.
Kan teknologigigantene tøyles? – Arendalsuka

Onsdag 17. august kl. 11-12: Kart som redder liv og kart som gir bedre kunnskap i klimaendringenes tid

Arrangør: Knowit Objectnet
Sted: Torvet 10

Gode geografiske data er stadig viktigere for samfunnet på mange områder. Vi har behov for å predikere fremtidige flomhendelser og andre klimahendelser når vi planlegger å bygge boliger og veier. Vi har behov for å varsle de riktige innbyggerne på riktig sted når naturkatastrofen truer. Kombinasjonen av en god felles datainfrastruktur og moderne innbyggerkontaktløsninger er helt sentralt for å være bedre forberedt. Men hvor kommer personvernet inn, og hvor trekker vi grensen for å samle inn personopplysninger i samfunnskritiske kartløsninger?

Med Camilla Nervik, seksjonsleder Datatilsynet, Johnny Welle, kartverkssjef i Kartverket, Paul Chaffey, studioleder hos Halogen.

Kart som redder liv og kart som gir bedre kunnskap i klimaendringenes tid – Arendalsuka

Onsdag 17. august kl. 15-16: Demokratisk eierskap av data – felleskapets gode eller gull til globale gigaselskaper?

Arrangør: Kartverket
Sted: Madam Reiersen

Er det slik at data samlet på norsk jord er et felles nasjonalt gode som fellesskapet også kan høste gevinster av – eller lar vi dataprofittørene stikke av med gevinstene? Hvem skal eie data samlet inn i offentlig regi? ​

​Teknologigigantens inntogsmarsj på den nasjonale dataarena utfordrer regelverk og reguleringer, men også forvaltningen av dem. Fjerning av nasjonale reguleringshindre er siste skanse før fri dataflyt over landegrensene er en realitet. Dermed kan datagullet forsvinne til profitørene.​

Med Janne Dahl Stang, Datatilsynet, Johnny Welle, kartverksjef Kartverket, Kimberly Mathisen, CEO HUB Ocean, Lars Peder Brekk, direktør i Brønnøysundregistrene, Ole Tom Seierstad, National Security Officer hos Microsoft Norge og Sondre Ronander, Communications Manager hos Google Norge. Magnus Brøyn leder debatten.

Demokratisk eierskap av data – fellesskapets gode eller gull til globale gigaselskaper? – Arendalsuka

Torsdag 18. august kl. 15-16: Kunstig intelligens i norsk finansnæring

Arrangør: Finansforbundet
Sted: Castelle

Finansforbundet har, sammen med PA Consulting, kartlagt bruken av kunstig intelligens (KI) i norsk bank og forsikring. Funnene viser at norsk finansnæring er inne i en brytningstid i sin anvendelse av kunstig intelligens.

Rapporten er den første av sitt slag i Norden og legges frem under Arendalsuka. Det blir påfølgende debatt med aktuelle stemmer fra næringen.

Kari Laumann deltar fra Datatilsynet. 

Kunstig intelligens i norsk finansnæring – Arendalsuka  

——–

Se også oversikt over hvor vi deltar på datatilsynet.no eller finn hele programmet på arendalsuka.no

Dette innlegget ble holdt på KiNS-konferansen (Foreningen Kommunal Informasjonssikkerhet ) i april 2022, og er en forkortet versjon.

KiNS-konferansen er en viktig tradisjon og møteplass for alle som er opptatt av personvern og informasjonssikkerhet. Foreningen har en tydelig plass i kommunal og fylkeskommunal sektor. KiNS har gjort et viktig arbeid for informasjonssikkerhet i kommunene og skolesektoren, og er en sentral arena for deling av kunnskap og nettverking.

Norge i verden – verden i Norge

24. februar angrep vårt naboland Russland Ukraina. Vi er vitne til forferdelige krigshandlinger og ufattelige menneskelige lidelser. Millioner er på flukt, og tusenvis tas imot i kommuner over hele landet. Vi må være godt rustet og ta imot med omsorg, også med tanke på personvern. Mange skal registres inn i nye og gamle systemer og lister.  Det må gjøres med varsomhet. Flyktninger er en sårbar gruppe. Særlig kategorier personopplysninger og personopplysninger relatert til sårbare grupper krever større beskyttelsesvern enn vanlige personopplysninger. Vi vet også at risikoen for nettverksoperasjoner har økt under krigen. Andre påskedag sendte PST ut en pressemelding med vurderinger av etterretningstrusselen fra Russland i Norge. Nettverksopperasjoner som metode blir mer relevant når konfliktnivået nå gjør det vanskeligere å operere på andre måter, og de blir mer omfattende, sier PST (pst.no).

Personopplysninger er nesten alltid inngangsnøkkelen for angrepet. Alle personer og virksomheter med informasjon eller innflytelse av verdi for Russland må regne med å være mer utsatt enn før for russiske etterretningsaktiviteter (datatilsynet.no). Flere norske selskaper lagrer og behandler dessuten data i utlandet. Situasjonen gjør at vi oppfordrer alle selskaper som eksporterer personopplysninger om å gjøre en ny vurdering av hvilke persondata som sendes ut av landet til Russland og Ukraina. Det kan derfor være lurt å gå gjennom databehandleravtalene med leverandører en gang til med dette for øyet (datatilsynet.no).

Mange samtaler tar en helt annen farge nå etter at krigen brøt ut. Også når det gjelder personvern og informasjonssikkerhet. Jeg tror at krigssituasjonen i Europa kommer til å prege mye av det vi alle gjør fremover- kanskje med  et nytt alvor.

Øking av saker og henvendelser til Datatilsynet

Fjorårets aktiviteter i Datatilsynet er med å danne grunnlaget for statusen for personvernet i dag, og gjenspeiler mye av hva som skjer på personvernsiden i samfunnet. Året 2021 har vært som en berg- og dalbane for de aller fleste, med nedstengninger og åpninger om hverandre. Vi har hatt flere store saker direkte knyttet til pandemien, blant annet spørsmål om koronasertifikat. Det har vært en økning i koronarelaterte klager, slik som overvåking av ansatte på hjemmekontor. Smittesporing er også et tema som har opptatt mange.

I løpet av 2021 har Datatilsynet utestedet 26 overtredelsesgebyr etter brudd på bestemmelser i personvernforordningen. Dette innebærer en dobling sammenlignet med året før.  Alt i alt utstedte vi overtredelsesgebyrer på i underkant av 80 millioner kroner i løpet av i fjor. Sammenlignet med 2020, da vi hadde 13 saker som resulterte i overtredelses­gebyr på til sammen snaue seks millioner, er dermed økningen betydelig. Dette gjelder både antallet ilagte overtredelsesgebyr, og ikke minst, det totale beløpet. Disse sakene (datatilsynet.no) gjelder blant annet brudd på person­opplysningssikkerhet, ulovlig overvåking på arbeids­plassen, innhenting av kreditt­opplysninger og ulovlig utlevering av personopplysninger via mobilapplikasjoner.

Meldinger om brudd på personopplysningssikkerheten

 Antallet innmeldte avviksmeldinger har økt betraktelig. I fjor fikk vi inn 2 255 meldinger om brudd på personopplysningssikkerheten.  28 prosent av alle avvikene som meldes inn, kommer fra kommunesektoren. Det inkluderer skoler, barnehager, mange helsetjenester, eldreomsorg og barnevern. Kommunene er ansvarlige for mange av tjenestene som er nærmest enkeltindividet, og følgelig behandles mange sensitive opplysninger her. Å hjelpe til med å løfte kommunenes kompetanse på personvern og informasjonssikkerhet er dermed spesielt viktig.

Kun 9 stykker av totalt 2 255 innmeldte brudd på personopplysningssikkerheten fikk gebyr, det vil si under 0,5 %. Det betyr at når Datatilsynet faktisk ilegger gebyr så er saken av en slik karakter at den skiller seg ut, samtidig som den også gjerne har likhetstrekk med flere andre saker. Gebyrsakene kjennetegnes av at sikkerheten ikke er godt nok ivaretatt i virksomheten når hendelsen inntraff, uansett eventuell angriper eller årsak til hendelsen.   Enkelte mener at virksomheter som utsettes for angrep, ikke bør ilegges gebyr, og at de allerede har fått sin straff. Vi har stor sympati for vanskelighetene slike angrep skaper for de som blir rammet. Vi mener likevel at våre gebyrer er virkningsfulle og virker avskrekkende og ikke minst opplærende for andre som er i tilsvarende risikosituasjon.

Les blogg: Når en virksomhet har hatt et datainnbrudd, har den ikke da allerede fått sin straff? – Personvernbloggen.

I vår saksbehandling går vi grundig gjennom hva som er skjedd, hvorfor og hvilke tiltak som var satt inn før og etter. Tenk hvilke ringvirkninger diskusjonen til Østre Toten har gitt. Vi er mange som kan takke kommunen for åpenheten rundt angrepet (personvernbloggen.no).

Big Tech og offentlig sektor

Vi kan ikke snakke om status for personvernet uten å snakke og de store teknologiselskapene. Teknologirådets rapport viser at du spores på over 80 prosent av offentlige nettsteder, ved at de bruker verktøy i regi av de store techgigantene. Er dette lurt, greit, og rimelig å forvente? Spørsmålet stilte Tore Tennøe, direktør for Teknologirådet, da han holdt sitt innlegg på Personverndagen mandag 31. januar i år. Han svarte selv at det offentlige både har monopol, dekker viktige livshendelser og har et særlig ansvar, og svaret derfor er nei. Datatilsynet har, etter en egen vurderingen som behandlingsansvarlig valgt å ikke opprette en egen konto på Facebook, fordi vi ikke vet hva som faktisk skjer med brukernes data.

En ganske ny avgjørelse fra det østerrikske datatilsynet konkluderer med at det å bruke Google Analytics betyr at brukernes data sendes til USA. Det strider mot personvernlovgivningen i EU. Blir avgjørelsen stående, er det å bruke Google Analytics ulovlig – også i Norge. Men det er bevegelse, ja det er faktisk lys i tunnelen, sier Tobias Judin i Datatilsynet. Det er mulig det kommer på plass en ny avtale slik man enkelt overføre personopplysninger til USA igjen. Forrige måned kom nemlig nyheten mange har ventet på. I forbindelse med president Joe Bidens besøk i Brussel, kunngjorde han og EU-president Ursula von der Leyen at EU og USA har landet en ny avtale. I en felles uttalelse kunngjorde de at avtalen vil besvare EU-domstolens innvendinger mot den forrige avtalen, samtidig som USA skal styrke personvernreguleringene i egen telekombransje.

Vi må stille krav

Vi er nå inne i et momentum for å få til endringer som stiller langt større personvernkrav. Det er på høy tid at vi begynner å gjøre den type vurderinger fra offentlig sektor, og begynne å stille krav. Vår tidligere sjef, Bjørn Erik Thon sa før han skulle slutte– Min drøm er at vi skal kunne lage det nye, personvernvennlige Google i Norge, ut fra en helt ny måte å tenke på, som tar opp i seg både innovasjon, samfunnsnytte og personvern. Ja, tenk om! Vårt inntrykk er at regjeringen ser viktigheten av å ivareta personvern og informasjonssikkerhet, også i kommunesektoren. Slik ser det i hvert fall ut i Hurdalsplatformen (regjeringen.no).

Den treffer blink på mye. Les den, bruk den. Vi må ha store forventninger.

Vi trenger fortsatt et skikkelig trøkk for å sikre er godt personvern for alle.

Umberto Eco sa på et foredrag for internasjonale personvernmyndigheter allerede på 1980-tallet at «Den største utfordringen er ikke å sikre personvernet til  de få som ber om hjelp, men å få alle andre til å betrakte personvernet som et verdifullt gode».

Vi bærer det videre.

I et innlegg mener informasjonssikkerhetsrådgiver Simen Bakke at det i dag er trusselaktørenes aktivitet som påvirker hvem Datatilsynet gir gebyr til. Han sier at vi heller bør jobbe forebyggende og ikke bare straffe etter at angrep har skjedd. Vi støtter fullt ut poenget om at Datatilsynet må jobbe forebyggende. Vi tror at noe av kritikken muligens bygger på feil forutsetninger og mangelfull forståelse om hvordan vi faktisk arbeider.

Datatilsynets ansvarsområde er stort og vi må hele tiden prioritere i vårt arbeid for et godt personvern, samtidig som vi er forpliktet til å følge opp saker og hendelser som meldes til oss på en forsvarlig måte.

Et viktig tema er hvorvidt saken vi behandler kan ha betydning utover det konkrete tilfellet, og hvor stor personverneffekt vi oppnår. Et innmeldt avvik eller en klage i en enkeltsak er ofte et symptom på en mangel som gjelder flere. Og det er ikke sjelden at vi undersøker andre aktører enn de som er meldt inn til oss og kontrollerer om personvernregelverket er ivaretatt.

I fjor fikk vi inn 2255 meldinger om brudd på personopplysningssikkerheten. 13 prosent omhandlet dataangrep. Dette er en økning på fire prosent fra året før. De aller fleste hendelsene kunne vært forhindret eller blitt mindre alvorlige dersom informasjonssikkerheten hadde vært bedre.

For de mest alvorlige tilfellene vi undersøker, kan vi velge å utstede overtredelsesgebyr. En helt sentral virkning av et gebyr er at det skal virke avskrekkende, samtidig som det skal være virkningsfullt og rimelig. Dette følger direkte av personvernregelverket.

Et av hovedformålene med gebyrer er den forebyggende effekten. Kanskje ikke overfor den som allerede er rammet av et angrep, men overfor alle andre i samme situasjon og som kan lære. Et overtredelsesgebyr fra Datatilsynet skaper ofte stor oppmerksomhet, og det medfører i mange tilfeller at andre aktører får seg en vekker om hvilket arbeid de må gjøre for å sikre dataene sine.

Bakke trekker frem Østre Toten kommune og Stortinget som eksempler på tilsyn fra Datatilsynet som ble utført etter at dataangrep hadde inntruffet og personopplysninger var kommet på avveier. I begge tilfellene skjedde angrepene som følge av store svakheter med sikkerheten rundt personopplysninger som ble behandlet. Dette er avdekket gjennom vår saksbehandling, som etter vår mening har gitt både informasjon og oppmerksomhet om denne og andre lignende hendelser.

Østre Totens oppfølging og åpenhet var forbilledlig og kan trolig medføre at andre kommuner sørger for at det ikke skjer igjen og igjen. I utmålingen av gebyret la Datatilsynet vekt på disse forholdene.

Vi mener at den informasjonen som er kommet frem er til stor nytte for andre i deres sikkerhetsarbeid. Den forebyggende gevinsten av vår oppfølging av disse sakene er udiskutabel.

Dette innlegget ble først publisert i Dagens næringsliv 8. februar.

På lørdag skrev Øyvind Husby at Datatilsynet bommer om felles behandlingsansvar ved bruk av Facebook-side. Han sier dette er problematisk fordi vi som tilsyn forventer at vår vurdering skal være en mal for andre.

Vi har vært tydelige på at vi ikke opptrådte som tilsyn da vi vurderte vår bruk av Facebook. Vi har presisert at man ikke trenger å bruke samme metode som oss og at alle må gjøre sine egne vurderinger.

Misforstått

Når det gjelder jussen, ser Husby ut til å tro at det må foreligge en eksplisitt avtale om formål og midler for at felles behandlingsansvar skal inntre.

I Wirtschaftsakademie- og Fashion ID-dommene som Husby peker på, forelå det ingen enighet mellom partene. Partene brukte dessuten personopplysninger til litt ulike ting. Likevel konkluderte EU-domstolen med felles behandlingsansvar. Begge parter bidro nemlig til innsamling av data og å sette rammene for behandlingen, samtidig som de hadde en felles økonomisk interesse. Det er dette vi har lagt til grunn i våre vurderinger.

I førstnevnte dom finner vi uttalelser om omfanget av felles behandlingsansvar for Facebook-sider. Vi er enige med IKT-Norge i at man ikke har ansvar for alt som skjer på Facebook, men basert på dommens ordlyd kom vi frem til at omfanget av felles behandlingsansvar er videre enn hva Facebook legger opp til i sitt avtaleverk. IKT-Norge ser ut til å stole blindt på dette avtaleverket.

Huseby får det til å se ut som at vi står alene i vår forståelse, men vår tolkning er i tråd med retningslinjene til Personvernrådet, der alle 30 datatilsyn i EØS er medlemmer.

Vranglære

At andre er uenig i vår risikovurdering, er uproblematisk. Her prøver imidlertid IKT-Norge, et interesseorgan som representerer Facebook, å snu opp ned på det EU-domstolen har sagt om Facebook.

Det er skremmende, men ikke nytt.

Schrems II-dommen, som også gjaldt Facebook, sier litt forenklet at USA ikke har god nok beskyttelse av personopplysninger. Facebook har tolket seg bort fra dommen og sender derfor data fritt til USA likevel.

Vi vet at Facebook ofte gjemmer seg bak interesseorganer når de skal lobbe. Dette er vanlig taktikk i Brussel, og vi må være oppmerksomme på det samme her hjemme.

Udemokratisk

Husby avslutter innlegget sitt med å påpeke demokratisk deltakelse – og det er kjernen av problemet.

Facebook bestemmer hvem som får og ikke får se ulike budskap, basert på inngripende sporing som kan medføre nedkjølingseffekt. Nylige avsløringer viser at algoritmene premierer destruktivt og splittende innhold, og Facebook har blitt anklaget for å bidra til vold mot rohingyaene i Myanmar.

At Facebooks interesseorganisasjon skal definere demokratisk deltakelse, er mildt sagt problematisk.

Vårt mål er at Facebook skal respektere demokratiet og rettighetene våre. Det er trist at IKT-Norge har andre mål.

Dette innlegget ble først publisert i Dagens Næringsliv (02.02.22), og er skrevet av konstituert direktør Janne Stang Dahl og seksjonssjef Tobias Judin.