Oppropet advarer mot at avansert KI vil føre til grunnleggende endringer i hvordan vi lever livene våre, og de sier at vi de siste månedene har sett et kappløp om å utvikle teknologi som selv ikke de som står bak klarer å forstå og kontrollere. De peker på negative effekter som desinformasjon, manipulering og at mennesker ukritisk blir erstattet av maskiner på arbeidsmarkedet.

Menneskene må ta kontroll

Oppropet mener at kommersielle krefter og maskinene selv ikke burde styre utviklingen. Men at demokratisk valgte politikere må sørge for at utviklingen skjer på en måte som har positive effekter for samfunnet, og at risikoene blir håndtert på en god måte.

Budskapet får meg til å tenke på Personvernkommisjonens hovedanbefaling fra i fjor høst om å få på plass en nasjonal personvernpolitikk for at digitaliseringen skal skje i tråd med grunnleggende menneskerettigheter som personvern – på tvers av alle sektorer.

Datatilsynet mener det er på høy tid med en helhetlig personvernpolitikk, og vi kan ikke ta pause nå. Tvert imot! Politikere, virksomheter og offentlige myndigheter (som oss selv) må engasjere oss i å finne gode løsninger for å styre teknologien i riktig retning.

Robotene tar ikke over Norge helt enda

Nå handler en etisk og bærekraftig utvikling av KI om mye mer enn bare personvern. KI skal være effektiv og presis og gjøre livene våre lettere og bedre. Den skal også være sikker, rettferdig og i tråd med verdiene i samfunnet vårt. En god del utvikling og bruk av KI berører imidlertid personvern fordi KI ofte bruker personopplysninger. 

I løpet av de siste to årene har vi i Datatilsynet vært så heldige å være i dialog med mange norske virksomheter som tar i bruk KI igjennom vår regulatoriske sandkasse. Vårt inntrykk er at det skjer masse spennende KI-utvikling i Norge, men vi er ikke helt der at robotene tar over enda. KI tas i bruk i alle sektorer, men akkurat nå er det mer hverdags-KI som gjelder.  Altså relativt enkle modeller det er lett å ha kontroll på, for eksempel chatte-funksjoner eller enkle analyser brukt som beslutningsstøtte.

Kunstig intelligens + personvern = sant

Selv om avanserte KI-modeller kanskje ikke er høyaktuelle for norske virksomheter nå, viser interessen for sandkassen vår at mange har spørsmål rundt hvordan få til godt personvern i hverdags-KI. Hvor transparente må vi være? Hvordan sørger vi for at løsningen er rettferdig og ikke diskriminerer? Hvordan får vi til dataminimering i praksis? Dette er typiske spørsmål vi graver i i sandkassen – i skjæringspunktet juss, teknologi, etikk og samfunn.  

Vårt inntrykk er at norske virksomheter ønsker å få til godt personvern fra start – såkalt innebygd personvern. Og det syns jeg er et veldig godt utgangspunkt for KI-utvikling i et litt overordnet perspektiv også. Hvis vi passer på at vi har kontroll og styrer teknologien fra start, så slipper vi kanskje å trekke i nødbremsen slik KI-oppropet nå foreslår.

Vi må jobbe jevnt og trutt, og ikke la oss skremme av skumle fremtidsscenarioer der robotene tar over. Kunstig intelligens har kommet for å bli og vi i Datatilsynet har troen på at vi kan få til både intelligente løsninger og godt personvern. Men utviklingen går fort og politikken må henge med. Vi er godt i gang med en podcastserie der vi prøver å finne ut hva en personvernpolitikk er og hva det vil ha å si i sektorer som skole, justis og for forbrukere – lytt gjerne til den her.

Disclaimer: Dette innlegget er skrevet av et ekte menneske

Dette innlegget stod på trykk i Morgenbladet fredag 24. september og er skrevet av Dag Mostuen Grytli og meg selv – vi jobber begge i Seksjon for utredning, analyse og politikk i Datatilsynet.

I 1962 publiserte den amerikanske biologen Rachel Carson Den tause våren, som er kjent som en av de viktigste ledestjernene for den globale miljøbevegelsen. Carsons oppgjør med sprøytemiddelindustrien førte til konkrete samfunnsendringer, og bidro til en forståelse av miljøødeleggelser som kollektiv skade: alles liv forringes og trues når økosystemene vi er en del av, dør.

Tiden er overmoden for å gjøre det samme med personvern. I en kommentar i Morgenbladet etterlyser Lena Lindgren politikere som vil jobbe for digital selvråderett. Den regjeringsutnevnte Personvernkommisjonen er et godt sted å starte, og kommisjonen bør benytte anledningen til å sette de kollektive skadevirkningene av personvernkrenkelser og inngripende overvåkning på dagsordenen.

«Jeg samtykker til at demokratiet forvitrer»

Et menneske er ingen øy, og de siste årene har det skjedd en merkbar endring i hvordan personvernrettigheter forstås og debatteres. Beskyttelse av enkeltindividets grunnleggende rettigheter og friheter vil alltid være personvernets kjernefunksjon, men den kollektive verdien som følger av enkeltindividets vern, og de kollektive skadevirkningene av at personvernet svekkes, blir stadig mer presserende å snakke om.

Når en fellesressurs ødelegges fordi alle brukerne av ressursen handler til sitt eget beste, selv om de på lang sikt skader seg selv, kalles for allmenningens tragedie. Vår tids digitale utfordringer bærer i seg et element av dette: de digitale økosystemenes annonsedrevne overvåkningsmodell forurenser offentlighetssfærer og skader demokratier over hele kloden. På samme måte som en lang rekke ressursproblemer som vannmangel, overfiske og global oppvarming.

I tråd med den digitale tidsalderens ånd står vi fritt til å inngå avtaler med verdens største selskaper, hvor vi tvinges til å akseptere vilkår som bryter med grunnleggende rettigheter. Det finnes mange grunner til at personvernerklæringer og «jeg godtar»-knapper ikke fungerer. En av dem er at de kollektive skadevirkningene av individuelle valg er vanskelige å få øye på. Dette er også allmenningens tragedie.

Summen av den omfattende sporingen endrer forutsetningene for demokratiske friheter, som ytringsfriheten og muligheten til å søke informasjon. Hvis vi konstant mistenker at vi er overvåket, vil mange legge bånd på seg, noe som fører til en nedkjølingseffekt. Nedkjølingseffekten er spesielt kritisk for utsatte grupper som allerede føler seg utpekt og mistenkeliggjort, som varslere, minoriteter og andre som kanskje har meninger som ikke følger midtstrømmen.

Uintenderte metaforer

Mennesker er den eneste arten som forstår verden gjennom historier, myter og metaforer. Denne måten å forstå tilværelsen på kan belyse og mørklegge. Metaforer kan også fungere på måter som sannsynligvis ikke var intensjonen når metaforen først ble lansert.

Klisjeen om at data er den nye oljen, er en slik metafor. I utgangspunktet skulle sammenligningen peke mot de enorme verdiene som ligger i storskalainnsamling og analyse av personopplysninger. Metaforen fungerer (muligens utilsiktet) også i kraft av at selskapene som dominerer de digitale markedene, utøver monopolmakt, på samme måte som oljeselskapene gjorde for et århundre siden.

I dag vet vi at den fossile energien som har revolusjonert vår verden, også potensielt kan ødelegge den. Og selv om livsstilsendringer på individnivå kan hjelpe, er det bred enighet om at klimakrisen må løses politisk.

Parallellene er flere. Vi kan observere at de mest personvernfiendtlige aktørene markedsfører sine tjenester som de mest personvernvennlige, med dyre reklamekampanjer og sponsing av konferanser og utredninger. Personvernvasking kan legges til begrepslisten ved siden av grønnvasking og rosavasking.

Datasølet, liksom oljesølet, treffer også ulikt. Vi har sett stygge eksempler på at folk med mørk hudfarge blir feilpredikert av ansiktsgjenkjenningsteknologi eller at algoritmer diskriminerer på kjønn i rekrutteringsprosesser. Cambridge Analytica ble på samme måte et skandalisert selskap da de ekstremt inngripende valgmanipulasjonsmetodene deres ble avslørt i USA og Storbritannia. Lite ble skrevet om de trettitalls valgene de manipulerte i land på den sørlige halvkule. Vi ser også en tendens til at invaderende overvåkning av arbeidstagere er mest utbredt i lavtlønnede yrker.

I vår felles bakgård

Hvis data er den nye oljen, må vi snakke mer om forurensingen, utslippene og de kollektive skadevirkningene stordataalderen har medført. Bevisste forbrukervalg, nettvett og kunnskap om informasjonssikkerhet er viktig, men langt fra nok i dataforurensingens tidsalder. Vi må løfte samtalen og politikkutformingen mot en forståelse av personvern som et kollektivt gode, i tillegg til en fundamental rettighet på individnivå.

Hvordan kan vi konkret jobbe for at de kollektive konsekvensene av overvåkning og sporing blir en like naturlig del av samtalen som de kollektive konsekvensene av global oppvarming? En god start vil være at Personvernkommisjonen sørger for å koble det individuelle og forbrukerorienterte med det kollektive og samfunnsmessige.

Vi fikk inn 25 søknader til den regulatoriske sandkassen for kunstig intelligens (KI) og personvern. Spennet i søknadene viser det enorme potensialet KI har for å forbedre og effektivisere samfunnet vårt. Samtidig ser vi helt klart et behov for avklaring av hvordan deler av personvernregelverket skal tolkes i praksis.

Topp 5

Lista over tematikk, som søkerne i første runde med Datatilsynets sandkasse ønsker hjelp med, toppes av disse fem:

1. Transparens
2. Dataminimering
3. Rettferdighet
4. Anonymisering/avidentifisering
5. Behandlingsgrunnlag

Tilbakemeldingene vi har fått fra søkerne er at regelverket er der, men hvordan skal vi gjøre det i praksis? Hvor detaljert må forklaringen være? Hvordan kan vi bruke så lite data som mulig (dataminimering), men samtidig få nøyaktige resultater? Hvordan kan vi designe et system som er rettferdig for brukeren og ikke diskriminerer?

Vi er i gang med å velge ut fire prosjekter av de 25 søknadene som vi skal jobbe tett med for å utforske gode personvernløsninger i de ulike løsningene. Målet med sandkassen er å jobbe frem gode personvernløsninger for å vise frem at KI og personvern kan gå hånd i hånd, og gi eksempler på vurderinger og personverntiltak i konkrete prosjekter. Vi håper det kan være til hjelp og inspirasjon for andre virksomheter som benytter personopplysninger og KI.

KI overalt

Kunstig intelligens kan gjøre utdanningen mer tilpasset og presis, den kan hjelpe med å effektivisere helsehjelp og fange opp sykdom på et tidlig tidspunkt, den kan spare samfunnet for store verdier ved å avdekke hvitvasking på en måte mennesker ikke kan. Søknadene representerer mange ulike sektorer, og vi har alt fra små oppstartsselskaper til store offentlige aktører på listen.

11 av søkerne kommer fra offentlig sektor, og 14 fra privat sektor.

Nå gleder vi oss til å komme i gang med de første sandkasseprosjektene. Følg gjerne med på våre nettsider om nytt fra sandkassen – vi staser på å dele oppdateringer underveis i prosjektene. Første runde vil vare i 3-6 måneder, og vi kjører nytt opptak når vi har kapasitet til høsten. 

«Det er den draumen me ber på, at noko vidunderlig skal skje.» Ordene fra lyrikeren Olav H. Hauge oppsummerer kanskje de store forhåpningene vi har til kunstig intelligens. Allerede i dag kan algoritmer gjenkjenne ansikter eller treffe beslutninger basert på enorme mengder data i løpet av et sekund. Teknologien har potensial til å revolusjonere sektorer som helse og finans.

Alt som er teknisk mulig er ikke alltid til det beste – og det er heller ikke alltid tillatt.

Skjeve algoritmer
Domstolene i noen av statene i USA har tatt i bruk maskinlæring i et system for utmåling av straff og kausjonsbetingelser. Dobbelt så mange afroamerikanere som hvite ble feilaktig ansett å ha høy risiko for å begå nye lovbrudd.

Vi er bare i startgropen på noe som vil ha en betydelig effekt på samfunnet. Derfor er det viktig at vi tar diskusjonen nå – hvilke rammer trenger vi for å kunne realisere mulighetene i kunstig intelligens på en oversiktlig, trygg og rettferdig måte?

Svarte bokser og dype nett
En enkel og forståelig algoritme for å kjenne igjen et ansikt kan være å kun se på om håret er lyst eller mørkt. Da er det én regel som styrer ansiktsgjenkjenningen.

Såkalte dype nett er den nyeste utviklingen og selskaper som Google og Facebook ligger helt i front. Dype nett kan ha millioner av parametre, som hver for seg beskriver en enkel sammenheng. Millioner av slike enkle biter gir modeller som er komplekse og presise, men som også kan være vanskelige å forstå selv for dem som har laget dem – såkalte svarte bokser.

Algoritmene kan ikke gjøre som de vil
De nye personvernreglene fra EU (GDPR) som trer i kraft i mai stiller større krav til dem som behandler personopplysninger og setter grenser for bruk av teknologi. Sentralt for bruk av kunstig intelligens i de nye reglene er dataminimering, rettferdig behandling og ikke minst gjennomsiktighet.

Brukeren har rett til å få grunnleggende informasjon om behandlingen. Ved en helautomatisert avgjørelse med betydelig konsekvens for den registrerte kan vedkommende også ha rett til en forklaring på hvordan avgjørelsen er tatt. Å ikke følge reglene kan gi bøter eller pålegg om å endre praksis eller slutte å behandle personopplysninger.

Innsyn i algoritmene er teknisk mulig
Vi har den siste tiden sett flere eksempler på utprøving av tekniske løsninger som gjør det mulig å se inn i algoritmene uten å avsløre mer enn den registrerte har krav på å få vite. En algoritme henter ut en forståelig forklaring på hvordan algoritmen har vurdert akkurat dine data. Slik metodikk for å se inn i algoritmer uten å kjenne dem i detalj – en slags kunstig intelligens for å forklare den kunstige intelligensen – forskes det aktivt på i dag.

Videre utvikling er avhengig av folks tillit
En bærekraftig utvikling av personaliserte tjenester forutsetter at folk er villige til å dele opplysningene sine og at de stoler på at opplysningene deres blir ivaretatt på en ansvarlig måte. Hvis din virksomhet vil ta i bruk kunstig intelligens bør du først vurdere mulige personvernkonsekvenser, ha gode systemer for å ta vare på de registrertes rettigheter og teste løsningene jevnlig for å unngå innebygd, urimelig forskjellsbehandling. Det kan dessuten være at du må velge mellom en modell som gir best mulig resultater og en modell det også er mulig å forklare.

Til slutt: Det offentlige må gå foran med etiske og personvernvennlige løsninger og det bør forskes mer på løsninger som sikrer personvernvennlig kunstig intelligens og gjør det lettere å følge reglene. Dette kan også bli en konkurransefordel for norske virksomheter.

Denne teksten ble trykket som kronikk i Dagens Næringsliv sin teknologispalte fredag 12. januar med Anders Løland fra Norsk Regnesentral og Bjørn Erik Thon fra Datatilsynet som medforfattere i tillegg til meg selv. Samme dag ble Datatilsynets rapport om personvern og kunstig intelligens lansert, les mer om den her.

Regelverket stiller ingen spesifikke krav når det kommer til utdanningsbakgrunn eller sertifiseringer, men det stilles tydelige krav til kompetanse og egnethet. Ombudet skal velges på grunnlag av:

• Faglige kvalifikasjoner. Ombudets faglige kvalifikasjoner bør stå i forhold til hvor omfattende behandling av personopplysninger virksomheten har, og hvor sensitive og komplekse opplysningene er. Hvis en virksomhet behandler store mengder personopplysninger eller overfører data i stor skala til tredjeland er det ekstra viktig å utnevne et personvernombud med sterk faglig tyngde.
• Dybdekunnskap om personvernlovgivning og praksis på området. Personvernombudet forventes å ha oversikt over, og å gi råd om, rammene for etterlevelse av både forordningen og annet personvernrelevant regelverk med betydning for virksomheten. Behovet for dybdekunnskap om tilstøtende regelverk vil naturlig nok variere. I noen tilfeller vil det ikke være annet relevant regelverk, mens det i andre vil det være sektorspesifikk lovgivning som kan ha bestemmelser av betydning for personvernet. Det er også en fordel at ombudet har erfaring fra og kjennskap til sektoren. Ombudet bør også ha en god forståelse av behandlingsaktivitetene, IT-systemene, informasjonssikkerhet og personvernbehovene i virksomheten.
• Evne til å utføre oppgavene sine. Dette referer både til personlige egenskaper og kunnskap, men også til ombudets posisjon i virksomheten. Når det kommer til personlige egenskaper er det relevant å vurdere integritet og evne til å gjøre etiske vurderinger, samt evnen til å stimulere resten av virksomheten til å behandle personopplysninger i tråd med regelverket.

Hva slags utdanningsbakgrunn bør personvernombudet ha?

Regelverket setter ingen krav til hva slags type utdanningsbakgrunn et personvernombud skal ha. I dagens ordning ser vi at ombudene kommer fra mange ulike slags bakgrunner. Men det er kanskje en overvekt av jurister, IT-rådgivere, HR-personell, revisorer og personell som jobber med compliance, organisasjonsstruktur, sikkerhet og regelverketterlevelse.

Som nevnt over er det viktig at personvernombudet har en god forståelse av behandlingsaktivitetene, IT-systemene, informasjonssikkerhet og personvernbehovene i virksomheten. I tillegg er god forståelse av regelverket avgjørende. Et godt personvernombud trenger ikke nødvendigvis å være ekspert på alle disse feltene. Det viktige her er at det er en person som evner å tilknytte seg de personene og den kunnskapen hun eller han trenger i organisasjonen.

Hva slags kurs eller utdanning trenger et personvernombud?

Noen nye personvernombud vil ha med seg personvernrelevant erfaring fra tidligere, mens andre ombud vil være helt ferske og kanskje ikke ha noen erfaring med personvern. Virksomheten og ombudet må sammen se på hva slags kompetanseheving og kursing ombudet trenger for å kunne ivareta oppgavene sine på en god måte.

Vi anbefaler alle personvernombud å ta kurs eller utdanning som er relevant for sin oppgave. De aller fleste vil trenge det, eller i hvert fall ha stor glede av denne måten å tilegne seg kunnskap på. I dag er den mange som tilbyr kurs eller seminarer, med ulik profil og med ulik varighet. Kanskje finnes det også samlinger eller kurs som er spesifikk rettet mot en ønsket bransje, eller mot en bruk av personopplysninger som er særlig relevant for deres virksomhet?

Det viktige er at den enkelte finner en vei som passer dem samt utfordringen som virksomheten står overfor i sin bruk av personopplysninger. For noen er det naturlig å ta litt av gangen, eller å kombinere forskjellige kurs. For andre vil det beste være å finne en generell opplæring av en varighet som gjør det mulig å gå mer i dybden, typisk et større kurs som er ment for å gi et god fundament for personvernombud. For de som stiller på bar bakke kunnskapsmessig, anbefaler vi å ta kurs utover en dag eller to for å få kunnskapen og oversikten som trengs for å utføre ombudsoppgavene.

Datatilsynet tilbyr to dager med kurs for personvernombud i høst – disse er dessverre fullbooket, men vi vurderer å sette opp nye kurs våren 2018. Mer info kommer på Datatilsynets nettsiderdette er endelig bestemt. Våre kurs gir en innføring, men er ikke omfattende nok som fundament for et personvernombud med stort kunnskapsbehov.

Det er i tillegg en rekke personvernkurs på markedet som er relevante for personvernombudene.

Les mer

Vår samleside om personvernombudsordningen

Veiledere og annen informasjon om det nye personvernregelverket

Artikkel 37 i den nye forordningen som kommer fra EU sier at både behandlingsansvarlige og databehandlere skal utpeke et personvernombud dersom:

1. behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som handler innenfor rammen av sin domsmyndighet,
2. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller
3. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 (sensitive personopplysninger) eller personopplysninger knyttet til straffedommer og straffbare forhold som er nevnt i artikkel 10.

Med mindre det er helt opplagt at en virksomhet ikke er pålagt å ha ombud, anbefaler Datatilsynet at virksomheten dokumenterer de vurderingene som har blitt gjort dersom personvernombud ikke blir opprettet. Dokumentasjonen er nødvendig for å kunne vise at virksomheten har gjennomført en reell vurdering, der alle relevante faktorer har blitt tatt med. Vurderingene bør oppdateres ved behov, for eksempel hvis virksomheten starter nye behandlinger av personopplysninger som kan være omfattet av de tre punktene over.

Hva faller innenfor «offentlig myndighet og organ»?

Forordningen definerer ikke hva offentlig myndighet og organ betyr i vår sammenheng, og det er opp til hvert land å definere ut i fra sitt lovverk og kontekst. I høringsutkastet fra Justisdepartementet er det foreslått at de organene som omfattes av offentlighetsloven § 2 a skal være pålagt å ha ombud. Det vil i så fall innebære at staten, fylkeskommuner og kommuner har plikt til å opprette personvernombud. Hvordan offentlig sektor defineres vil bli endelig avklart når det nye regelverket vedtas i Stortinget.

Hvem innen privat sektor må ha ombud?

Virksomheter som har som hovedvirksomhet å gjøre følgende i stor skala, må opprette personvernombud:

• regelmessig og systematisk monitorering av personer, eller
• behandling av sensitive personopplysninger, eller
• behandling av opplysninger om straffbare forhold

Nedenfor forklarer vi nærmere hvordan de ulike begrepene kan tolkes.

Hovedvirksomhet «Hovedvirksomhet» er kjerneaktiviteter som er nødvendig for å oppnå virksomhetens mål. Hvis behandling av personopplysninger er uløselig forbundet med virksomhetens produkter eller tjenester, skal det ses på som en hovedvirksomhet.

To eksempler på dette:

• Et sykehus sin hovedvirksomhet er å gjøre folk friske, men sykehuset kan ikke gjøre det uten å behandle personopplysninger i stor skala. Sykehuset er derfor pålagt å ha personvernombud.
• Et sikkerhetsselskap utfører kameraovervåking på flere kjøpesentre. Å sørge for sikkerheten er hovedvirksomheten, men dette forutsetter behandling av personopplysninger. Sikkerhetsselskapet blir derfor pålagt å ha personvernombud.

Personaladministrasjon og vanlig IT-støtte er standard i alle virksomheter, og blir i denne sammenheng ikke sett på som hovedvirksomhet. Dermed utløses ikke pålegget om å ha personvernombud.

Stor skala Forordningen definerer ikke hva som ligger i begrepet «stor skala». Følgende faktorer bør imidlertid tas med i en vurdering av om en behandling er i stor skala, eller ikke:

• antallet personer det behandles opplysninger om
• mengden og omfanget av personopplysningene som blir behandlet
• varigheten av behandlingen
• det geografiske omfanget av behandlingen

Eksempler på aktører som foretar behandling av personopplysninger i stor skala er sykehus, offentlige transportsystemer i en by, banker, forsikringsselskaper, søkemotorer på internett og internett- og teletilbydere.

Eksempler på aktører som ikke vil falle inn under begrepet «stor skala» er fastleger eller advokater som kun behandler opplysninger for et begrenset antall pasienter eller kunder.

Regelmessig og systematisk Heller ikke når det gjelder «regelmessig og systematisk» gir forordningen en definisjon, men følgende punkter bør legges til grunn i en vurdering:

• Regelmessig:
  • Behandlingen av personopplysninger skjer løpende eller jevnlig i en bestemt periode
  • Behandlingen gjentas på bestemte tidspunkter
• Systematisk:
  • Behandlingen av personopplysninger skjer etter et system
  • Behandlingen er forhåndsbestemt, organisert eller metodisk
  • Behandlingen skjer som en del av en generell plan for datainnhenting
  • Behandlingen skjer som en del av en strategi

Monitorering «Monitorering» beskrives nærmere i fortalepunkt nummer 24 («fortale» er en innledende forklaring til de enkelte artiklene i lovteksten):

«For å fastslå om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe avgjørelser om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.»

Oppsummert omfatter «monitorering» i denne sammenhengen alle former for sporing og profilering på nettet, inkludert persontilpasset reklame.

Begrepet monitorering begrenses imidlertid ikke bare til aktiviteter på internett. Eksempler på aktiviteter som kan falle inn under begrepet monitorering er:

• drift av et telekommunikasjonsnettverk
• målrettet e-postreklame
• profilering og vurdering i forbindelse med kredittvurdering
• sporing av lokasjon i mobilapplikasjoner
• monitorering ved bruk av helsearmbånd
• kundeklubber eller lojalitetsprogrammer
• kameraovervåking
• bruk av internettilknyttede enheter, som for eksempel smarte biler, automatiske strømmålere, smarthus og lignende

Sensitive opplysninger og straffbare forhold «Særlige kategorier av opplysninger samt personopplysninger knyttet til straffedommer og straffbare forhold» refererer til definisjoner i artikkel 9 og 10:

• Sensitive opplysninger/særlige kategorier av personopplysninger (art. 9):
  • rasemessig eller etnisk opprinnelse
  • politisk oppfatning
  • religiøs eller filosofisk overbevisning
  • fagforeningsmedlemskap
  • behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person
  • helseopplysninger
  • opplysninger om en fysisk persons seksuelle forhold eller seksuelle legning
• Straffbare forhold (art. 10):

• personopplysninger i forbindelse med straffedommer og straffbare forhold eller tilknyttede sikkerhetstiltak

Kan virksomheten opprette personvernombud på frivillig basis?

Datatilsynet oppfordrer alle virksomheter som gjør en omfattende innsamling og bruk av personopplysninger, eller som behandler opplysninger som er særlig beskyttelsesverdige, om å opprette et personvernombud. Dette gjelder også de som ikke er pålagt å gjøre det. Vær da oppmerksom på at dersom dere oppretter ombud på frivillig initiativ, vil artiklene 37-39 i forordningen gjelde på lik linje som for lovpålagte ombud.

En virksomhet står selvfølgelig fritt til å ansette eller leie inn arbeidskraft for å ivareta personvernet uten at denne eller disse personene har rollen som personvernombud. I slike tilfeller er det viktig at det kommer tydelig fram, både innad og utad i virksomheten, at tittelen, oppgavene og rollen til disse ikke kan forveksles med et personvernombud.

Må også databehandlere opprette personvernombud?

Både den behandlingsansvarlige og databehandleren er pålagt å ha personvernombud hvis kriteriene i artikkel 37 er oppfylt. Avhengig av hvem som oppfyller kriteriene kan det være enten den behandlingsansvarlige eller databehandleren som er pålagt å ha personvernombud, men det kan også være begge.

Et eksempel:

En liten familiebedrift selger hvitevarer og kjøper tjenester av et webanalysebyrå for å tilby målrettet reklame på nettsiden sin. Familiebedriften sin behandling av personopplysninger er såpass begrenset at det ikke faller inn under begrepet «stor skala». Webanalysebyrået derimot har så mange forskjellige kunder at det til sammen tilsvarer behandling av personopplysninger i stor skala. I dette tilfellet skal webanalysebyrået utnevne personvernombud, mens familiebedriften ikke har den samme plikten.

Et personvernombud som er utnevnt av en databehandler har også ansvar for de øvrige behandlingene som virksomheten er behandlingsansvarlig for (for eksempel IT, personal/HR, logistikk og lignende).

Les mer om personvernombudsordningen

Les mer om personvernombud etter ny forordning

Les mer om den nye forordningen 

Kunstig intelligens og roboter

Første del av konferansen var dedikert til kunstig intelligens og roboter. Her kommer det til å skje mye spennende i skjæringspunktet big data og maskinlæring i årene framover. Intelligente systemer kan ta til seg store mengder informasjon (for eksempel hva vi ser, hva de observerer koblet med andre tilgjengelige kilder på nett eller i andre registre). Ideen er at de etter hvert skal kunne lære og ta egne valg basert på all informasjonen de samler inn og erfaringene de gjør seg. Vi er på starten av denne utviklingen. Et eksempel på denne typen teknologi som eksisterer i dag er en robot som kan gi en mer presis kreftdiagnose enn en menneskelig lege. Smarte roboter blir også brukt for å snakke med kunder og vi kan se for oss bruk i offentlig sektor i fremtiden.

Med kunstig intelligens kommer også personvernutfordringer. En av dem er at det kan være vanskelig å vite hvordan en intelligent maskin kommer fram til en avgjørelse. Vi står muligens ovenfor en situasjon hvor algoritmene og maskinens egeninnsats blir så komplisert at verken maskinen selv eller de som programmerte den kan si hvordan den kom fram til resultat X (sjekk ut Little Britians «the computer says no»). Et viktig personvernprinsipp er at du skal vite hva slags informasjon andre har om deg og hva de bruker den til.

Det var enighet på konferansen av at for å sikre åpenhet og for å forebygge diskriminering gjennom algoritmer er det viktig å utvikle maskiner med kunstig intelligens på en måte som ivaretar personvernet vårt. Vi ser ofte at teknologien driver utviklingen, noen ganger på en måte som går på bekostning av grunnleggende rettigheter som kontroll over egne data. Spesielt når det gjelder intelligente systemer, som kan analysere enorme mengder informasjon og aldri glemmer, er det viktig at det er vi som mennesker som setter agendaen og sørger for innebygd personvern i systemene vi lager.

Kryptering

Et annet tema for konferansen er kryptering. James Baker fra FBI og Amie Stepanovich fra Access Now (NGO som fronter digitale rettigheter) fikk opp temperaturen i panelet. Stepanovich mente at å lage bakdører eller på andre måter kompromittere krypteringsløsninger vil underminere sikkerheten på internett – og være en veldig dårlig ide både for myndigheter og enkeltpersoner. Kryptering er det beste verktøyet vi har for å beskytte oss på internett. Det er helt avgjørende for utøvelsen av grunnleggende rettigheter: personvern og ytringsfrihet. Det er også et viktig verktøy for virksomheter og myndigheter når de håndterer konfidensiell informasjon. Hun argumenterte at det må finnes andre løsninger å løse utfordringene myndighetene har med å bekjempe terror og annen kriminalitet på nettet.

Baker fra FBI var overraskende enig med Stepanovich på enkelte punkt. Han sa at kryptering er kommet for å bli. Men at det har en kostnad. Det gjør det vanskeligere å beskytte folk mot overgrep og terror. Baker trodde det finns andre løsninger enn å forby eller ha bakdører i krypteringsløsninger, men han sa at FBI ikke vet hva løsningen er enda.

Fire resolusjoner

Datatilsynene som deltok på konferansen ble enige om å adoptere fire resolusjoner. Det betyr at vi har forpliktet oss til å inkludere følgende temaene i vårt arbeid hjemme i Norge:

• Utvikle nye måter å måle personvernets status og kår nasjonalt og internasjonalt
• Bidra til å forsvare personvern som en menneskerettighet
• Internasjonalt samarbeid på tvers av grenser
• Adoptere internasjonale retningslinjer for digital kompetanse for personvern i lærerutdanningen

Du kan lese teksten i resolusjonene her.

Hvem har tilgang til opplysningene mine? Hvem «eier» testresultatene? Hvordan sletter jeg dataene mine? Lagres opplysninger om meg i nettskyen? Dette er noen av spørsmålene vi stilte, og som vi i skuffende liten grad fant svar på da vi testet seks ulike hjemmetestprodukter koblet opp mot mobiltelefonen. Vi tok utgangspunkt i en vanlig norsk forbruker da vi bestilte utstyret, og lette etter relevant informasjon hva som skjer med målingene og andre opplysninger om oss.

For dårlig informasjon til brukeren

Vi testet utstyr som kan deles i tre kategorier: Blodtrykk, blodsukker (typisk brukt av diabetikere) og såkalte oksymeter/pulsoksymeter, det vil si måling av oksygenmetning i blodet og puls (aktuelt for kolspasienter). Denne typen hjelpemidler kan gjøre livene våre lettere og potensielt være til stor hjelp for pasienter med kroniske sykdommer.

Vi så kun på seks produkter i vår kartlegging, og kan derfor ikke generalisere at resultatene gjelder alle hjemmetestprodukter. Vår lille sjekk gir imidlertid et godt innblikk i problematikken for den personvernbevisste forbruker ved bruk av denne type utstyr.

Fem av seks produkter får stryk fordi de ikke på en tilfredsstillende måte forklarer hvordan personopplysningene blir samlet inn, brukt og delt. Ingen av produktene forklarer brukeren hvordan kan slette egne opplysninger. Ingen av de seks vi testet gir tilfredsstillende informasjon om hvordan opplysningene sikres og lagres.

Testresultatene for de ulike produktene

En klar beskjed til bransjen – og en oppfordring til deg som forbruker

Vi er fra Datatilsynet sin side både overrasket og skuffet over hva vi fant og da særlig med tanke på at dette er utsyr som samler inn data som gir indikasjoner på din helsetilstand. Nå er ikke leverandørene i vår test norske, men jeg vil likevel å gå ut med en klar oppfordring til produkt- og app-utviklere om å bygge inn godt personvern i produktet:

• ikke samle inn mer informasjon enn nødvendig,
• gjør det enkelt for brukeren å slette egne data, og
• sørg for god datasikkerhet slik at potensielt sensitive opplysninger ikke kommer på avveier.

Dette er tre viktige personvernfremmende tiltak. Les mer om innebygd personvern på våre nettsider.

I tillegg oppfordrer jeg sterkt alle virksomheter til å lage en personvernerklæring. Retten til å vite hvordan opplysninger om meg blir brukt er grunnsteinen i personvernet. Det å samle all relevant informasjon om hvordan personvernet er ivaretatt på ett sted, i form en personvernerklæring, er et veldig egnet og praktisk virkemiddel for å informere brukeren. Vi har laget en egen veileder om hvordan du kan lage en god personvernerklæring.

Forbrukere som kjøper slikt utstyr og som ønsker å ha en viss kontroll på egne personopplysninger har en utfordring. Det er vanskelig å finne relevant og dekkende informasjon om håndteringen av personopplysninger. Vi oppfordrer derfor deg som forbruker å velge produkter som har en personvernerklæring, eller som på andre måter har godt tilgjengelig informasjon om hvordan ditt personvern vil bli respektert. Du bør se etter en beskrivelse av hvordan opplysningene dine blir samlet, behandlet, delt og lagret. Sjekk også om du gis mulighet til å slette data og om det står noe om hvordan dine personopplysninger blir sikret.

Helsehjelp fra tingenes internett – en aktuell debatt

Utviklingen av selvtester koblet mot mobiltelefon går raskt, og tilbudet av måleinstrumenter og tester til hjemmebruk øker stadig. Se Teknologirådets oversikt over tilgjengelig selvtestutstyr her.

Mennesker med kroniske sykdommer som for eksempel diabetes eller epilepsi kan finne stor hjelp i denne typen hjemmetestutstyr som vi har sett på. I fremtiden kan vi se for oss at målinger fra selvtestutstyr kan sendes løpende til legen slik at denne kan vurdere om medisinbruk og behandling skal justeres.

E-helsedirektoratet har akkurat gjennomført en høring der de foreslår en selvdeklareringsordning for mobile helseapplikasjoner. Siden det per i dag ikke finnes noen godkjenningsordning eller kvalitetsgaranti virker dette å være en god ide. Men hvis denne typen utstyr skal brukes opp mot helsevesenet i stor skala bør produktene kvalitetssikres i større grad. En slik kvalitetssikring bør da selvsagt også inkludere en vurdering av hvordan personopplysningene ivaretas. Da er det blant annet viktig å vite at dataene lagres og overføres på en sikker måte, og at rettighetene til bruk av dataene er avklart i forkant. Du kan lese Datatilsynets høringsinnspill her.

Vårt sveip er del av et internasjonalt prosjekt

Den lille utsjekken vi har gjort av seks produkter er Datatilsynets bidrag til årets såkalte GPEN-sveip. GPEN (Global Privacy Enforcement Network) er et nettverk av personvernmyndigheter verden over. Det er fjerde året Datatilsynet deltar i GPEN-sveipet. Årets tema er tingenes internett, gjerne forkortet til IoT (Internet of Things). Vi valgte å konsentrere oss om testutstyr for helse. Noen personvernmyndigheter valgte det samme som oss, mens andre valgte for eksempel smart-TVer, smarte biler og leketøy. Totalt 25 personvernmyndigheter verden rundt deltok og så på til sammen 314 objekter.

Les mer om sveipet og last ned rapporten her.

«Nedkjølingseffekten» er i denne sammenheng ideen om at vi endrer oppførsel dersom vi mistenker at noen titter oss over skulderen. Begrepet beskriver at vi lar være å gjøre noe fordi vi frykter at personopplysningene vi etterlater oss kan få negative konsekvenser. Begrepet er omstridt og det er vanskelig å måle, men funnene fra Oxford-studien bekrefter altså en nedkjølingseffekt etter Snowden-avsløringene i 2013.

Ill: Birgitte Blandhoel

Den nye studien viser at det var 20 prosent nedgang i sidevisninger på Wikipedia-artikler som handlet om terrorisme, og som for eksempel nevnte «Al-Qaeda», «bilbombe» eller «Taliban». En av forskerne uttalte følgende til The Washington Post: «Hvis folk blir skremt eller usikker på konsekvensene av å lese om viktige politiske temaer som terrorisme og nasjonal sikkerhet, er det en reell trussel for den opplyste demokratiske debatten».

Nedkjøling i Norge
I november 2013, akkurat seks måneder etter Snowden-avsløringene, gjorde Datatilsynet en internettundersøkelse blant nordmenn der vi spurte om de har unnlatte å gjøre noe fordi de er usikker på hvordan opplysningene kan bli brukt senere.

Tallene fra 2013 viser at en vesentlig andel av befolkningen svarte at de har unnlatt å gjøre enkelte aktiviteter fordi de er usikre på hvordan opplysningene kan bli brukt senere. Det er verdt å merke seg at så mange som 26 prosent har unnlatt å skrive under på opprop og at 16 prosent har unnlatt å foreta bestemte søk på nett.

Å legge bånd på seg både på nett og i det virkelige liv kan ofte være en god ting og er en del av den kritiske dømmekraften enhver av oss har med oss når vi ferdes på nett. Men når vi lar være å støtte en sak, søke på et tema vi er interessert i eller på annen måte engasjere oss i samfunnet er det problematisk.

Nedkjøling av demokratiet
Et eksempel på en problematisk konsekvens av nedkjølingseffekten er at PEN America fant at en av seks skribenter hadde tilpasset innholdet i sine tekster i frykt for overvåkning. 250 amerikanske skribenter deltok i studien i oktober 2013, og resultatet viste som nevnt at hele 20 prosent sensurerte seg selv fordi de var usikre på om de var overvåket av myndighetene.

En sentral følge av nedkjølingseffekten er press på ytringsfriheten, som i neste konsekvens kan svekke demokratiet ved at borgerne begrenser sin deltakelse i åpen meningsutveksling. Men nedkjølingseffekt handler også om at usikkerhet knyttet til hvordan våre personopplysninger blir brukt, kan føre til at vi unngår helt ordinære gjøremål. Vi kan for eksempel unngå å låne en bestemt bok på biblioteket eller å ringe psykologen, i frykt for hvordan disse opplysningene eventuelt kan bli brukt senere.

På forhånd har vi kjøpt inn en drøy håndfull testapparater på forskjellige nettsider. Vi har valgt utstyr som ut fra nettbutikkens beskrivelse ser ut til å sende og lagre de opplysningene som blir registrert via tjenester på internett. At dingsen er koblet til internett er nemlig et sentralt poeng for hva vi holder på med. Og nå sitter vi her. Vi har spent åpnet postpakkene og har lastet ned de tilhørende appene. Vi forsøker, gjennom tekniske beskrivelser og personvernerklæringer (i den grad vi finner dem) å få klarhet i hva slags personopplysninger og helsedata som faktisk blir registrert.

Vi er ikke alene om å ha det moro for tiden. Testen vi holder på med er en del av et såkalt GPEN-sveipet. GPEN (Global Privacy Enforcement Network) er et nettverk av personvernmyndigheter verden over. Det er fjerde år vi er med nå. I fjor sjekket vi apper som retter seg mot barn og unge. I år er temaet tingenes internett, gjerne forkortet til IoT (Internet of things). Denne uken er det hele 29 personvernmyndigheter rundt om på kloden som sjekker forskjellige typer IoTer. Vi har for vår del valgt å konsentrere oss om testutstyr for helse. Andre personvernmyndigheter har i årets sveip valgt IoTer som typisk brukes i hjemmet.

Testen vi gjennomfører handler først og fremst om hvilken informasjon brukere av utstyret får: I hvilken grad blir du egentlig informert om hvordan dine personopplysninger blir samlet inn, brukt og eventuelt videreformidlet? Etter hvert sender vi våre resultater til GPEN, som igjen sammenstiller resultatene. Da får vi en større oversikt, og konklusjoner formidles i september.

Vi kommer altså tilbake til hva vi har funnet, fordi vi har lovet våre internasjonale samarbeidspartnere å holde tett om våre resultater frem til den tid.

Før du hører noe mer fra oss kan du tygge litt på denne formuleringen i vilkårene til en av dingsene:

«You hereby grant to [selskapet] and its suppliers a non-exclusive, transferable, worldwide, royalty free, sublicensable, right and license to store, copy, distribute, transmit, publicly perform, display, create derivative works of, and otherwise use the Personal Content for purposes of providing the Application to third parties, including the right to transmit the Personal Content to other users.»