Dette innlegget er skrevet av Line Coll, direktør i Datatilsynet, og Kari Laumann, seksjonssjef for utredning, analyse og politikk i Datatilsynet. Innlegget ble først publisert i Altinget 28.01.2026.

Her hjemme har vi akkurat sparket i gang 2026, som av myndighetene er utpekt som Totalforsvarsåret. På bortebane ser vi at gamle allianser knaker og at den gamle regelbaserte verdensordenen utfordres. Teknologi har blitt et sentralt maktmiddel i geopolitikk, og personvern spiller en stadig viktigere rolle i sikkerhetspolitikken.

Tekoligarker og avhengighet

Store deler av Norges digitale infrastruktur er levert av en håndfull amerikanske selskaper. Disse selskapene er ikke bare teknologileverandører, men også globale maktaktører, og leverer alt fra fiber, datasentre, skytjenester og operativsystemer, både i privat og offentlig sektor i Norge.

Tekoligark var årets nyord i 2025. Begrepet viser til en ny maktkonsentrasjon der økonomisk, teknologisk og politisk innflytelse smelter sammen. Mange av teknologiselskapene har tette bånd til Trump-administrasjonen og liker ikke reguleringer som står i veien for kommersiell handlefrihet.

Det kommer stadig nye eksempler på hvilke konsekvenser dette har i praksis. Da Microsoft stengte e-postkontoen til sjefsanklageren i Den internasjonale straffedomstolen (ICC), ble mange europeiske land minnet om hvor sårbare vi er. Utestengelsen skjedde etter amerikanske sanksjoner mot domstolen, som følge av arrestordre mot statsminister Netanyahu og andre israelske tjenestemenn for påståtte krigsforbrytelser i Gaza.

I Kina, den andre teknologiske stormakten i verden, kan myndighetene pålegge kinesiske selskaper å dele personopplysninger med dem. Diskusjonen om de hundrevis av kinesiskproduserte bussene som kjører rundt i Norge er også illustrerende. Busser utgjør kritisk infrastruktur i for eksempel evakueringssituasjon – og spørsmålet som er reist er om disse kan fjernstyres eller settes ut av drift av produsenten.

Europeiske verdier under press

Personopplysningene våre befinner seg midt oppi det hele. De er tett vevd inn i tjenestene og den digitale infrastrukturen som kan utnyttes, enten til angrep, overvåking, påvirkning eller manipulering av informasjon.

Som et lite og sårbart land har Norge en lang tradisjon for å støtte opp under en regelbasert verdensorden. For å møte en fremtid som utfordrer denne tradisjonen ser vi et tydelig behov for å vurdere graden av kontroll vi har over teknologisk infrastruktur og dataene som flyter i den.

Personvernregelverket i Europa er ikke bare er et vern for den enkelte, men også et uttrykk for europeiske verdier og strategiske interesser. Kravene til dataminimering, rutiner og informasjonssikkerhet styrker den digitale beredskapen i norske virksomheter så vel som samfunnet som helhet. Godt personvern i norske virksomheter styrker samfunnets evne til å stå imot press, påvirkning og digitale angrep.

Personvern som kollektivt vern

I dagens sikkerhetspolitiske situasjon må personvern forstås som en integrert del av Norges totalberedskap. Skal Norge lykkes i Totalforsvarsåret 2026, må personvern, regulering og digital infrastruktur ses i sammenheng – som en del av vårt kollektive vern.  Vi mener det er på tide å få på plass en helhetlig nasjonal plan for digital suverenitet som forener og balanserer innovasjon, sikkerhet og personvern.

I prosessen med å bli verdens mest digitaliserte land risikerer vi å få verdens mest overvåkede innbyggere.

I den norske debatten om personvern vises det gjerne til USA eller Kina når det er behov for eksempler på ukontrollert og inngripende overvåking. Nå holder det å se til våre naboland  for å finne disse eksemplene.

Hva skjer når du digitaliserer en velferdsstat og åpner døren på gløtt for de statlige etterretningstjenestene?

Svensken og dansken

Mye av grunnen til at velferdsstater som Norge, Sverige og Danmark fungerer godt, er at de har tilgang til store mengder digitaliserte data. Norge har mange statlige registre blant annet knyttet til helse, utdanning, arbeid, inntekt, velferdsytelser, straff, skatt og eiendom. Dette gjør det lettere å levere gode tjenester til innbyggerne. Men det har også en risiko. I en gjennomdigitalisert stat ligger potensialet for masseovervåking.

I Danmark pågår det nå en omfattende diskusjon om et nytt lovforslag. Forslaget gir etterretningstjenesten PET lov til å lage en analyseplattform der de kan samle data fra offentlige registre. Det kan for eksempel være informasjon om sykehusbesøk, kontakt med psykiatrien og sosialtjenester. De skal også kunne hente inn data fra sosiale medier – som hva folk skriver, liker og deler – og følge med på hvordan folk beveger seg på internett og i virkeligheten.

Ved hjelp av kunstig intelligens skal PET finne mønstre og peke på mistenkelig atferd. Mange er bekymret for at dette gjør at alle blir behandlet som potensielle mistenkte. Det kan føre til frykt for å ytre seg, og påvirke folks forhold og tilgang til velferdstjenester. Koplingen mellom registre, kunstig intelligens og overvåking er noe Danmark også tidligere har blitt kritisert for, blant annet i en rapport fra Amnesty.

I Sverige er det også snakk om mer overvåkning. Der ønsker myndighetene å gi sikkerhetstjenestene økt mulighet til å overvåke internettrafikk og pålegge meldingsapper å opprette en bakdør for å oppheve kryptering. «Nasjonal sikkerhetslagring» innebærer omfattende innsamling av borgernes datatrafikk ved behov. Målet er å bekjempe digital kriminalitet, men innsamlingen vil omfatte vanlige, lovlydige borgere.

Det er fristende å bruke informasjon som allerede er samlet inn til nye formål. Vi ser denne tendensen også i Norge.

Nye holdninger til bruk og deling av data setter personvernet under press i Norge

Fra fødsels- til dødsmelding, registreres norske borgere i utallige registre og vårt livsløp dokumenteres fra fosterstadiet på helsestasjonen, videre i barnehagen, skolen, helsetjenesten, arbeidslivet og NAV. Vi gir fra oss informasjon til staten som nødvendig ledd i å motta diverse tjenester og velferdsgoder. Opprinnelig har informasjonen vært organisert som små «øyer» i offentlig sektor, og kun vært brukt til det formålet som den ble samlet inn for. Men endringer har skjedd. I vår digitaliseringsiver har vi tilpasset oss en ny måte å forholde oss til data på: den har ofte stor verdi utenfor det opprinnelige formålet. Alle offentlige data anses mer og mer som et statlig felleseie.

Lisa Reutter, som er ekspert på datadrevet offentlig sektor, satte ord på det optimistiske forholdet vårt til offentlige data i en episode av Datatilsynets podkast: «Vi holder data atskilt slik at opplysninger samlet inn i én kontekst ikke skal ha noe å si i en annen. Men ideen om data som en muliggjørende teknologi, bidrar til å flytte grensene for hva vi aksepterer og synes er greit».

Sammenstilling av data skaper uklarheter

På Altinget har det i den siste tiden pågått en debatt om de såkalte individdataregistrene. De forslåtte registrene skal samle mye informasjon om barn i skole og barnehage – som fravær, prøveresultater, spesialundervisning, språkopplæring, foreldrenes bakgrunn og økonomisk situasjon. Disse opplysningene skal igjen kobles med data om foreldre og barnets videre liv, som utdanning, jobb, inntekt og helse, samt foreldrenes livsløp. Forskningen på registrene skal benyttes som kunnskapsgrunnlag for å skape en bedre skole. Datatilsynet har advart mot at store og sammenkoblede registre innebærer en endret maktbalanse mellom myndighetene og enkeltindividet, noe som kan påvirke tilliten til statlige myndigheter negativt.

Forbudet vårt mot Statistisk sentralbyrå (SSB) sin planlagte innsamling av data fra den norske befolkningens dagligvarekjøp i 2023 var et eksempel på det samme. Ideen om å koble bongdata opp mot sosioøkonomiske data slik som husholdningstype, inntekt og utdanningsnivå, var noe vi mente var et uforholdsmessig inngrep i norske borgeres privatliv.

Dette kommer i tillegg til utvidelsene av justismyndighetenes overvåking av borgerne de siste årene, med blant annet lagring av IP-adresser, passasjeropplysninger, Etterretningstjenestens overvåking av internettrafikk og senest PSTs hjemler til å overvåke åpne kilder. Når store deler av kommunikasjonen og kunnskapsinnhentingen vår skjer på digitale plattformer, vil summen av data som samles inn av offentlige og private aktører medføre et stort overvåkingspotensial. Ekstra bekymringsfullt er det når etterretningstjenester kjøper metadata fra apper på det uregulerte markedet, og når Kripos vil bruke private slektsdatabaser i etterforskning.

Alt dette bidrar til å skape uklarhet som forsterker de negative effektene av overvåking og kan svekke personvernet ved at legges press på å utforme tjenester med svakere beskyttelse. Alt dette ble på dramatisk vis satt på spissen i debatten og snuoperasjonen knyttet til sivilbeskyttelsesloven. En situasjon hvor personvernlovgivningen settes til side kan få alvorlige konsekvenser for samfunnet. Det å innføre økte kontrolltiltak på for eksempel internett eller ansiktsgjenkjenning i det offentlige rom vil innebære en svekkelse av sivilsamfunnet. Kontrollmekanismer blir også satt under press i krisesituasjoner. Det er ingen tvil om at Datatilsynet opplevde det svært krevende å si nei til Smittestopp-appen under Covid.

Overvåkingspotensialet i en gjennomdigitalisert stat

At hvert enkelt tiltak kan aksepteres som et nødvendig inngrep i personvernet, kan isolert sett fremstå tilforlatelig. Advokatforeningen har i en kronikk påpekt dilemmaet under overskriften «Jeg vil svekke rettsstaten – gi meg en hjemmel!». Det at nye tiltak hjemles, begrenser ikke nødvendigvis skadevirkningene av selve inngrepet. Mulighetene og hjemlene for sammenkobling av ulike offentlige registre eller private datasett gjør uforutsigbarheten for den enkelte desto større.

Det er godt dokumentert at økt overvåkingstrykk påvirker vår ytre frihet, hvordan vi lever, kommuniserer og bruker tjenester. Enda mer bekymringsfullt er at den også truer vår indre frihet – mange begynner å føle seg overvåket hele tiden. Det er ikke uten grunn at den nye KI-forordningen forbyr bruk av kunstig intelligens som manipulerer folk til å gjøre ting de ellers ikke ville gjort.

Datatilsynet vil advare mot et samfunn hvor all offentlig informasjon og private data samles og gjøres tilgjengelig for nye formål og bruksområder. Et demokrati kjennetegnes ved at det er borgerne som kontrollerer staten, ikke motsatt. Norge, Sverige og Danmark ligger fortsatt på topp på internasjonale demokratiindekser, men vi kan ikke ta slike målinger for gitt. Det fremstår som et paradoks at suksessen til de skandinaviske velferdsstatene – å bruke store mengder data til å levere gode velferdstjenester – kan gjøre oss ekstra sårbare.

Det kan være fristende å se til våre naboland når vi utformer politikk som skal løse fremtidens utfordringer. Men uansett om målet er velferd, forskning eller sikkerhet, er det viktig at politikerne er bevisst det enorme overvåkingspotensialet som ligger i en heldigital og gjennomregistrert stat.

Yngve Milde og Elias Meling belyser en rekke utfordringer knyttet til datadeling i Norge i sitt innlegg i Digi.no. De peker blant annet på at en streng tolkning av personvernregler kan hindre effektiv datadeling, noe som igjen kan forsinke digitaliseringen av offentlige tjenester. De mener at Datatilsynet oppleves som «et organ som setter terskelen for akseptabel risiko så høyt at det for mange oppleves som nullrisiko».

Det er viktig å finne en balanse mellom personvern og behovet for datadeling. Datatilsynet har som oppgave å sikre at personvernlovgivningen etterleves, og dette er et regelverk med et klart handlingsrom og som absolutt ikke krever nullrisiko. Formålet med regelverket er å nettopp legge til rette for bruk og deling av data – innenfor trygge rammer.

Slik vi ser det er personvern ikke en hindring, men en ressurs for å sikre forsvarlig digitalisering. Datatilsynet jobber hver dag for at regelverket praktiseres på en måte som legger til rette for innovasjon og utvikling, innenfor de rammene loven gir.​ Vi har både prosjekter i den regulatoriske sandkassen og løpende veiledning som går helt i kjernen av dette. Hvert år har vi over 5000 veiledningssamtaler der vi gir råd i håndtering av regelverket. Vi kjenner oss derfor ikke igjen i Mildes og Melings påstander om at vi utelukkende hindrer datadeling og er ute etter nullrisiko-løsninger.

Vår visjon er at vi skal jobbe sammen for menneskeverd og tillit i det digitale Norge. I dette ligger det at også Datatilsynet skal være med på den utviklingen Norge og samfunnet må ha, for å løse tidens og fremtidens utfordringer. Vi er imidlertid ikke så opptatt av at Norge skal bli verdens mest digitaliserte land innen 2030 – vi vil heller at Norge skal bli verdens best digitaliserte land.

Vi ønsker derfor debatten om datadeling velkommen. Den er viktig for å komme videre, og skape en bedre gjensidig forståelse av utfordringene og hvordan vi skal nå målet. Verken forsiktighetskultur og nullrisiko eller for stor risikoappetitt er positivt. Flere faktorer spiller inn i mulighetsbildet: Både intern kultur, kompetanse, datakvalitet, tekniske løsninger og jussen kan legge begrensninger for datadeling. Det må også konkretiseres hvilke datakilder man ønsker å dele fra og mellom, for å gjøre gode vurderinger av behov, hindringer og løsninger. For å avklare faktiske hindringer trenger vi flere konkrete eksempler og en mer nyansert debatt om balansegangen mellom personvern og datadeling.

I samarbeid med Finanstilsynet utforsker vi nå fem sandkasseprosjekter innen finanssektoren, der målet er å bekjempe økonomisk kriminalitet gjennom trygg og lovlig datadeling. Vår erfaring viser at veiledning fungerer best når vi jobber med faktiske problemstillinger, hvor personvern er med fra start. Vi ønsker derfor at flere bransjer kommer sammen, identifiserer spesifikke utfordringer og tar dem opp med oss i Datatilsynet.

Ansvarlig datadeling er et av Datatilsynets hovedfokusområder. Vårt arbeid må alltid skje innenfor rammene av personvernforordningen (GDPR), som er et felles europeisk regelverk som Norge er forpliktet til å etterleve. Samtidig er det alltid et tolkningsrom i regelverk, og dette rommet er vi i Datatilsynet opptatt av å utforske. Rettsutvikling er imidlertid en prosess som tar tid – saker må behandles, eventuelt overprøves, og i noen tilfeller kan det være behov for nye lover eller forskrifter, noe som er lovgivers ansvar. Nødvendig og etterspurt rettsutvikling er også avhengig av saker som rommer problemstillinger hvor det er behov for endring.

For å sikre best mulig digitalisering i Norge må vi finne løsninger sammen. Vi inviterer derfor næringslivet, offentlig sektor og bransjeaktører til å delta i vår regulatoriske sandkasse og dialogbaserte veiledning. Vi ønsker saker om datadeling, slik at vi sammen kan finne måter å realisere digitaliseringsgevinster uten at personvernet svekkes. La oss ta debatten fra teori til praksis.

Barn skal aldri utsettes for ulovlig eller skadelig reklame gjennom skolens læremidler, skriver Tonje Brenna i replikken med tittel «Vi må styrke vår digitale trygghet» (henvist til over) til Kaja Hegg og Christian Falchs kronikk Reklameskoledagen. Brenna er ullen i sitt svar på hvordan regjeringen vil bidra nasjonalt. Igjen er det kommunenes selvstyre som skyves foran. Det er på tide at regjeringen viser muskler og tar ansvar for skolebarnas digitale hverdag. Barna våre har krav på beskyttelse.

Barn og unges skolehverdag er gjennomdigitalisert. Mange barn får utdelt hvert sitt læringsbrett allerede i første klasse. Brettet brukes flittig i både undervisning og oppfølging, og barna har tilgang til all verdens apper og programvarer. Det er ingen hemmelighet at det er de internasjonale teknologiselskapene som leverer flere av disse verktøyene. Skolene og kommunene har begrenset kompetanse og liten forhandlingsmakt når de inngår avtaler, og dermed liten påvirkning på innsamlingen av personopplysninger knyttet til verktøyene gjennom slike avtaler.

Skolen er et attraktivt marked for markedsførere, fordi det gir mulighet til å etablere tidlige forbrukerrelasjoner med elevene. Personvernkommisjonens rapport fremhever alvoret. Den beskriver en skolehverdag der barn fra tidlig alder blir eksponert for reklame, for eksempel for slankepiller. Brenna sier også selv at skjermbruk og digitale plattformer påvirker helse, læring, livskvalitet og oppvekst.

Hvorfor viser hun bare nok en gang til strategier og at de «arbeider med å se nærmere på problemstillingene rundt barn og unges skjermbruk» når det er nødvendig med øyeblikkelige tiltak?

Det kreves handling, ikke bare planer og utredninger. Kommunene er tydelige på at de selv ikke har kompetanse til å vurdere det digitale utstyret før det kjøpes inn og tas i bruk. Både kommunene selv, vi og mange andre – også Regjeringens egne ekspertutvalg – etterlyser en tydelig sentral styring på personvernarbeidet i skolesektoren. Det vet Brenna, og det er også nøye adressert i Personvernkommisjonens rapport.

En av anbefalingene i kommisjonens rapport er å vurdere å innføre annonseblokkeringsverktøy eller andre tiltak på elevenes utstyr for å redusere elevenes eksponering mot uønsket reklame. Dette er et enkelt grep som i tillegg vil kunne bidra til å redusere noe av sporingen av elevenes digitale aktivitet til kommersielle formål. Det nærmer seg nå et år siden denne anbefalingen ble gitt, uten at vi kan se at noe konkret har skjedd. Er det egentlig et valg om å ikke lytte til anbefalingen fra kommisjonen når vi ser hvordan barn og unges personvern i skolen er under press?

Vi mener sentrale aktører fra både offentlig og privat sektor, med kunnskapsminister Tonje Brenna i spissen, må gå sammen og handle. Norge trenger en nasjonal og handlekraftig personvernpolitikk med konkrete tiltak for å sikre reklamefri skole. Vi trenger den nå.

Denne teksten er utdrag fra et foredrag jeg holdt under Lovkonferansen i juni 2023.

Norge er et av verdens mest digitaliserte samfunn. Det er positivt og viktig for utviklingen av Norge. Digitalisering gjør oss for eksempel i stand til å løse samfunnsoppdrag innen helse og omsorg i en situasjon hvor varme hender vil være mangelvare.

Men digitalisering skjer ofte på bekostning av retten til en privatsfære og et personopplysningsvern.

Det slo også Personvernkommisjonen fast i sin rapport – hvor nettopp dette var ett av hovedfunnene. Omtrent 5 år etter GDPR trådte i kraft, har vi altså en utvikling hvor vi har et svekket personvern sammenlignet med tidligere tider som følge av digitaliseringen av samfunnet.

En gradvis svekkelse av personvernet

Byggesteinene i den datadrevne økonomien er i stor grad personopplysninger. Dagens digitale samfunn åpner opp for enorme muligheter, men også noen farer.

Personvernkommisjonen peker i sin rapport på at utvikling og innføring av ny teknologi skjer raskt og uten at vi alltid har full oversikt over konsekvensene. Kontroversiell og inngripende teknologi blir fort normalisert og allment akseptert. Dette medfører en gradvis svekkelse av personvernet. En slik svekkelse kan være vanskelig å få øye på før det er for sent å motvirke de negative effektene.

Hvorvidt vi makter å treffe den riktige balansen mellom mulighetene ved digitalisering og ulempene i form av tilsidesatte grunnleggende rettigheter og samfunnsverdier, vil bli avgjørende for hvilket samfunn vi skaper sammen.

En åpen, opplyst samtale og politisk fokus og effektive rettssikkerhetsmekanismer er grunnleggende for å motvirke den negative utviklingen med at personvernet settes til side.

Avveininger hele veien

Hvilke mekanismer har vi som samfunn til å ivareta personvernet og løpende finne den riktige avveiningen mellom digitalisering og innovasjon, utvikling, og ivaretagelse av våre grunnleggende rettigheter?

Her er det fristende å trekke frem flere mekanismer eller virkemidler:

• En åpen, opplyst samtale om denne avveiningen og denne utviklingen er ett virkemiddel
• Personvernpolitikk er et annet – dersom Stortinget fikk en rapport om personvernets stilling hvert år
• Et sterkt og tydelig tilsynsorgan er jo også et virkemiddel i seg selv
• Og til sist – dagens tema – selve lovgivningsprosessen vi har i Norge i dag.

Lovgivningsprosessen som demokratisk verdi

Lovgivningsprosessen starter på litt ulike måter, og ender opp med at departementet skriver forslaget til en lov.  Så blir dette forslaget sendt på høring.

Denne delen av lovgivningsprosessen har stor demokratisk verdi. Det er en grunnsten i vårt system at lovforslag og endringer skal høres i en demokratisk prosess.

Datatilsynet har imidlertid erfart at en slik høring ikke alltid er tilstrekkelig og eller gir de nødvendige rettssikkerhetsgarantiene som vi trenger.

Vi har for eksempel sett at lovforslag som hjemler store inngrep i borgernes personvern ofte ikke er utredet godt nok til at Stortinget blir kjent med konsekvensene av lovene de vedtar.

Uten en oversikt over personvernkonsekvensene av et lovforslag, er det svært vanskelig for Stortinget å sørge for at innbyggernes personvern er ivaretatt.

Stortinget settes som en følge av dette ikke i stand til å gjøre godt informerte verdivalg. Utfordringen kan deles opp i følgende punkter, som utdypes nedenfor:

• Mangelfull og nærmest fraværende forhåndsutredning av personvernkonsekvenser (som er pålagt etter GDPR artikkel 35 og 36)
• Høringsnotater kommer ofte sent, og inneholder mangelfull og krevende beskrivelse av hvordan lovforslag påvirker personvernet
• Mangelfull oppfølging av høringssvar
• Fullmaktslovgivning som en trussel mot personvernet i dagens samfunn

Mangelfull og nærmest fraværende forhåndsutredning av personvernkonsekvenser.

Etter personvernforordningen artikkel 36 nr. 4 skal medlemsstatene rådføre seg med tilsynsmyndigheten på personvernområdet ved utarbeidelse av forslag til lovgivning, eller et reguleringstiltak som er knyttet til behandling av personopplysninger. Sett i sammenheng med artikkel 36 for øvrig, vil rådføringen trolig kun være nødvendig i tilfeller hvor behandlingen medfører høy risiko for de registrertes rettigheter og friheter.

Det følger altså av personvernforordningen en særskilt rådføringsplikt når det er snakk om behandling av personopplysninger som innebærer høy risiko for rettigheter og friheter.

Mange av dagens lovprosesser omfattes trolig av dette kriteriet.

Datatilsynet har fått svært få slike henvendelser om rådføring i forbindelse med lovgivningsarbeidet etter 2018. Det er heller ikke satt i noe godt system at slike konsekvenser skal utredes på forhånd og at rådføring skal gjennomføres, så vidt vi erfarer.

Personvernkommisjonen peker på at den rådføringsplikten som følger av personvernforordningen ikke kan anses som oppfylt ved at Datatilsynet er høringsinstans i forbindelse med en ordinær offentlig høringsprosess.

Plikten til rådføring med tilsynsmyndigheten under et regelverksarbeid kan altså, verken tematisk eller prosessuelt, likestilles med offentlig høring av et lov- eller forskriftsforslag.

Det at vi ikke får slike henvendelser, indikerer etter vår oppfatning en klar svakhet ved dagens lovgivningsprosess.

Høringsnotater kommer ofte sent

Det er også ofte for sen, mangelfull og krevende beskrivelse av hvordan lovforslag påvirker personvernet i samfunnet i høringsnotater.

Stortingets mulighet til å gjøre avveininger mellom ulike samfunnshensyn, herunder personvern, er betinget av at de ulike hensynene er godt beskrevet og synliggjort.

Vurderingen av om et inngrep i personvernet skal vedtas må baseres på en fremstilling – i for eksempel høringsnotatet – av blant annet formålet med lovforslaget og hvilke konsekvenser behandlingen av personopplysninger medfører.  

Vår erfaring er at det også her gjøres for lite for å kartlegge og beskrive konsekvensene av en lov eller forskrift, i forhold til hvilke konsekvenser den får for personvernet i samfunnet.

Det er også en observasjon fra vår side måten inngrepene og konsekvensene beskrives på, er med på å undergrave den totale effekten av tiltakene man ønsker lovregulert. Man beskriver for eksempel ett og ett punkt, og svarer ut fortløpende med beskrivelse av avhjelpende tiltak. Som en følge av denne måten å fremstille lovforslaget og effektene på, blir det vanskeligere for Stortinget og andre å få med seg det totale og komplette bildet.

Dette er etter vår mening en klar svakhet ved hvordan høringer i dag gjennomføres, og som i seg selv innebærer en risiko for tilsidesettelse av personvernet.

Mangelfull oppfølging av høringssvar

Det er ofte ikke så lett å se resultatene av høringsinnspill som er gitt. Selv om vi roper varsku med utestemme og blokkbokstaver, så skjer det ikke alltid noe. 

I 2021 besvarte Datatilsynet 49 av totalt 151 høringer som gjaldt offentlige myndigheters behandling av personopplysninger og som hadde betydning for personvernet.  Av disse mente vi at utredningen av personvernkonsekvenser var mangelfull eller fraværende i 30 av tilfellene, altså 60 %. Hvordan våre høringsinnspill ble imøtekommet, er det krevende å få en oversikt over.

Fullmaktslovgivning som en trussel mot personvernet

Det er ikke mangler ved høringsinstituttet som er utfordringen – men snarere valg av lovsform.

Rammene for behandling av personopplysninger settes ofte i forbindelse med vedtakelse av lover som inneholder generelt utformede bestemmelser med forskriftshjemmel.

I slike tilfeller fastsettes kun de helt ytre rammene – hvis rammene fastsettes i det hele tatt – for tiltaket i loven, mens detaljene skal reguleres nærmere i forskrift. Dette i motsetning til tilfellene der inngrepet i personvernet fremgår klart av selve loven idet den vedtas.

Bruken av fullmaktslovgivning, hvor vurderingen (og gjennomføringen) av selve inngrepet i personvernet blir lagt til underliggende etater eller virksomheter, er en risiko i seg selv.

Vi ser altså slik fullmaktslovgivning som en klar trussel mot personvernet i dagens samfunn.

Våre erfaringer er at makten til å gjøre store inngrep i innbyggernes fundamentale rettigheter, flyttes fra de folkevalgte til forvaltningen.

Et illustrerende eksempel på dette er vedtaket vi nylig fattet i saken mot SSB, hvor de ønsket å innhente bongdata fra dagligvarebransjen med hjemmel i et enkeltvedtak fattet av dem selv.

Personvernkonsekvensene må frem

De forholdene jeg har fremhevet, innebærer en risiko for at det åpnes for uforholdsmessig store inngrep i personvernet uten at Stortinget er gjort tilstrekkelig oppmerksom på det og at helt sentrale rettssikkerhetsgarantier forvitrer.

Snarere er det regelen heller enn unntaket at personvernkonsekvensene som de folkevalgte skal vurdere er dårlige, mangelfulle og ofte feilaktig fremstilt.

Disse svakhetene ved lovgivningsprosessen settes enda mer på spissen når vi ser dette opp mot den digitale utviklingen- og revolusjonen vi står i nå.

Hvordan skal lovgiver og ansvarlige myndigheter kunne ta stilling til og ta ansvar for bruken av for eksempel kunstig intelligens satt opp mot personvern og andre grunnleggende rettigheter i samfunnet, når prosessene ikke tar høyde for både informasjonsbehovet og et tydelig og klart språk?

Det er viktig å anerkjenne utfordringene vi står ovenfor.

I dag, 25. mai 2023, feirer hele Europa at GDPR, eller personvernforordningen, er fem år. Personvernforordningen trådte egentlig i kraft i EU den 24. mai 2016. Det var imidlertid først fra 25. mai 2018 at alle virksomheter i EU måtte følge reglene og tilsynsmyndighetene kunne begynne håndhevingen. For oss i Norge trådte personvernforordningen i kraft først den 20. juli 2018. Komplisert skal det være, men det som er sikkert er at vi feirer sammen med våre søstertilsyn i dag. Vi har hatt en bratt læringskurve. Regelverket er komplisert, og det har vært krevende både for virksomheter og tilsyn å sørge for best mulig etterlevelse. Heldigvis er det en større mening og verdi bak det hele: Personvern er en menneskerettighet vi ikke kan ofre for digitaliseringsiveren. Personvernet er i dag viktigere enn noen gang, som en grunnleggende forutsetning for vårt demokratiske samfunn. 

Men hva er egentlig personvern i dag?

Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvernkommisjonen uttaler følgende i sin rapport NOU 2022: 11 Ditt personvern – vårt felles ansvar – Tid for en personvernpolitikk, på side 29:

«Personvern kan defineres og beskrives på ulike måter. Uansett hvilken innfallsvinkel du velger, står det enkelte menneskets ukrenkelighet og krav på respekt fra andre mennesker, virksomheter og myndigheter, respekt for egen integritet og privatlivets fred, sentralt. Personvern er derfor nært knyttet til enkeltindividers muligheter for privatliv, selvbestemmelse og selvutfoldelse. I tillegg kan personvernet sies å være et grunnleggende premiss for et fullverdig demokratisk samfunn».

Retten til personvern beskrives her som en absolutt forutsetning for et fullverdig demokrati. I dagens digitale samfunn og den teknologiske revolusjonen vi står midt oppi, er personopplysningsvernet helt sentralt for å ivareta grunnleggende personvern, integritet og privatlivets fred. I den digitale tidsalderen vi er i, trer nemlig data frem som det definerende symbolet på vekst, fremskritt og makt. Og byggesteinene i dagens digitale økonomi er i stor grad personopplysninger.

Personvern er ikke bare en viktig menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet og privatliv. Personvern er også viktig for å sikre felles goder i et demokratisk samfunn. Uten retten til å ha et privatliv vil det ikke være mulig for den enkelte å skape seg et rom til å utvikle refleksjoner og vurderinger på et selvstendig grunnlag, uten å bli forstyrret eller kontrollert av andre.

Intet personvern, intet demokrati

Personvernforordningen er et viktig og komplekst regelverk, som har løftet personvernet på alle områder av samfunnet. GDPR gir både private og offentlige virksomheter plikt til å sørge for grunnleggende personopplysningsvern for alle de behandler opplysninger om – det være seg ansatte, kunder, pasienter, brukere eller innbyggere. Den gir også enkeltindivider rettigheter som de behandlingsansvarlige, altså virksomhetene som behandler dine data, må møte.

Plikt- og rettighetsbestemmelsene i forordningen gir til sammen et omfattende regelvern for ivaretagelse av personvernet og personopplysningsvernet til enkeltindivider. På et mer overordnet nivå er summen av plikter og rettigheter med på å regulere samfunnets ivaretagelse av personvernet og personopplysningsvernet. Denne felles innsatsen er derfor et viktig fundament i det norske demokratiet. Intet personvern, intet demokrati.

Krevende regelverk gir også magi

Innføringen av GDPR i 2018 var et vannskille for personvernet og personopplysningsvernet. Mange har dog erfart at regelverket kan være teoretisk og vanskelig tilgjengelig, og ikke minst krevende å omsette i praksis. 

Magien skjer når du klarer å omsette personvernforordningen fra teoretisk lovtekst til operasjonelt og funksjonelt personvern. Jeg har ofte beskrevet det som en «oversetterjobb» – kravene som følger av lovteksten må omsettes til praktiske og gjennomførbare tiltak hos den behandlingsansvarlige. Slik er det til en viss grad med all lovtekst – den må tolkes og forstås opp mot en faktisk og praktisk virkelighet. Men for personvernregelverket kommer dette særlig på spissen, ettersom ansvarlighetsprinsippet medfører at det er den behandlingsansvarlige som må vurdere, velge og prioritere tiltak, og gjennomføre og dokumentere hvilke grep som sikrer etterlevelse i den konkrete virksomheten.

Veien fra lovtekst til personvern i praksis må læres. Med kunnskap om både lov og praksis, har du et godt grunnlag for å være med på å forstå en viktig grunnsten i det norske demokratiet.

Gratulerer med femårsdagen!

In relation with the upcoming regulation of AI in the EU, by passing of the AI Act, the Norwegian Data Protection Authority was invited to the European Parliament and asked to give some reflections based on our experiences from our regulatory AI sandbox. This blogpost is an extract of the speech we gave.

Introduction

We have been running a regulatory sandbox for AI since 2020, and based on our experience from this we can tell you one thing:

• Artificial intelligence can indeed be explosive!
• AI is a power full tool, which can be technically explosive.
• The technical side, however, goes hand in hand with the ethical and moral aspects of AI, and AI can be ethically explosive. We have seen AI that shortly after launch – we are talking hours – develops from being rather neutral to being extremely right wing political and discriminating.
• The resent case in the Netherlands also showed us that AI can be politically explosive. The so-called child benefit scandal in the Netherlands, where the tax authorities used an algorithm to detect fraud, resulted in a large group of minority families wrongly being accused of fraud. This had of course dramatic consequences for the families involved. In addition, the case proved to be politically explosive as well, resulting in the government stepping down.

The goal of our regulatory sandbox has been to promote the development of innovative and responsible AI solutions and to help Norwegian companies in both private and public sector in their development and application of ethical and privacy friendly AI solutions.

The positive impact of many of the AI technologies we have examined in our sandbox can be as fast and as mesmerizing as fireworks – the beautiful side of explosions: we have seen cases spanning from predicting heart attacks to effectively fighting money laundering and financing of terrorism.

However, just like fireworks, AI technologies should be handled with care, as they may sometimes have far-reaching and disruptive negative consequences too, in particular for our fundamental rights and freedoms.

What is a regulatory sandbox?

What does a sandbox look like in practice, some of you might wonder. For us it is a method. It means allocating resources and providing dialogue-based guidance to dedicated companies over a period of 4 to 6 months – often in an early phase of the AI project of the company.

A sandbox provides a controlled environment that facilitates the development and testing of innovative AI technologies under the direct supervision and guidance of a competent authority.

In other words, a sandbox is a playground where controlled “explosions” of AI can safely be tested before they happen in the real world.

It gives us as data protection authority a unique chance to dig into AI-related privacy questions where there is little legal and practical precedence.

For example, we worked with the Norwegian welfare administration on a project where they wanted to use AI to ensure better follow up of individuals on sick leave. In this project we learnt about the importance of transparency towards the case handler in the welfare administration in order for them to make an informed decision whether or not to follow the algorithmic suggestion provided. We also learnt that the legal basis for using historical sick leave data to train the algorithm is unclear in the GDPR. For us, this is very concrete and useful takeaways.

A sandbox is also an opportunity for the authorities to gain first-hand insights into new and complex technologies, which is key to provide better case-handling, investigations and guidance to both companies and citizens.

How to succeed with a regulatory sandbox?

Based on our experience, we have identified three main success factors, in order for a sandbox to achieve its goals:

• The AI project should be used for the greater good and the process towards inclusion in a sandbox must ensure fair competition,
• Transparency, and
• Accountability.

The first success factor: use for the greater good and ensuring fair competition

As for the first success factor: The AI project should be used for the greater good and the process towards participation must ensure fair competition.

To ensure that sandboxes foster both innovation and sound competition, it is key to ensure that applicants are assessed based on open and transparent criteria, and that the criteria ensure the selection of projects with the greatest benefits for society, and not just for the benefit of the participating company or organization itself.  

To ensure this, in Norway, we ask ourselves and the applicants the following questions before admitting a project to our sandbox:

• Does the project actually concern artificial intelligence?
• Is the project likely to have a significant positive impact on individual citizens or society at large? Will the output or result of the sandbox project benefit or be relevant for other organizations as well?
• Is the applicant likely to benefit from participating in the sandbox, beyond limiting its compliance risks?
• Does the project fall under our supervisory remit?

These were our selection criteria. Other selection criteria can of course also be added to such a list. We consider it, however, beneficial if we, after the adoption of the AI Act, have a common regulation of some basic generic criteria, which are applicable across Europe. In order to achieve this, these common criteria should be found in the AI Act itself, and not left to be decided at a later stage by the European Commission.

The next success factor: Transparency

To get the most out of a sandbox, not only for the concrete participants but also for the rest of society, it is essential to disseminate the key learnings acquired within the sandbox.

Therefore, the publication of a report after the ending of each concrete sandbox project should be the rule rather than the exception.

Publication must of course be done without giving away trade secrets and other sensitive information. However, the explicit consent or agreement from the participating company should not be a precondition to publish reports.

In Norway, we have published reports, both in Norwegian and in English, after each of the 11 projects that we have handled within our sandbox so far. This has been welcomed by other companies who have similar projects in the pipeline – and by others – such as academic environments and the public sector who are keen to learn more about AI.

For us, a key success of the sandbox has been to scale the effect of individual projects by sharing assessments and learnings from each project: by doing so, we are helping many by helping one.

The last success factor: Accountability

From our perspective, the accountability principle should remain a cornerstone of compliance, and companies should remain responsible for the conformity of the AI technologies they apply. This should also be the case even if they have participated in a regulatory sandbox.

In other words, participating in a sandbox should not become or be seen as a tool to obtain a compliance rubber stamp and restrict possible fines at a later stage.

In the draft AI Act, there are sections that will, if included, provide a general liability waiver for organizations and companies that have participated in a sandbox. In our opinion, this solution would deviate from the accountability principle, which is a fundamental and basic principle in compliance.

Therefore, we believe that no general liability waiver for those who have participated in a sandbox should be included in the AI Act.

The Role of Data Protection Authorities

To ensure that the “explosions” of AI are properly controlled in a sandbox, it is key to make sure that sandboxes are run by authorities that have the appropriate expertise and regulatory competence.

Given that many, if not all, AI technologies heavily rely on the use of personal data, data protection authorities would be the natural regulatory body in relation to use of AI that involves personal data in some form, under the AI Act.

Data Protection authorities would be particularly well placed to act as regulators with respect to AI – thanks to their decades of experience with regulating emerging technologies and their extensive experience with balancing different rights and interests.

In any event, even if data protection authorities will not be assigned the main supervisory competence under the AI Act when finalized, data protection authorities will need to be associated to the operation of an AI sandbox as long as it concerns the processing of personal data. This will have to happen every time an AI system involves the processing of personal data or otherwise falls under their supervisory remit, as it was identified in the Commission’s proposal.

Our final remarks

We would like to give you three key takeaways from our sandbox experience.

• First, we need to be open and transparent in regard to takeaways and learnings from sandbox projects. We need to be open about what we learned in each project, as it is important to bear in mind that the sandbox process is quite resource intensive. In order to defend using our limited resources on sandbox projects, we need to help more than one organization at a time. Helping one by one company would be too resource intensive for us. The sparks and positive explosions – the beautiful fireworks – generated by an AI project in the sandbox need to reach as many as possible outside the sandbox itself in order to foster innovation and spread good practices.
• Second, we need to pay attention when we select the projects, we admit in a sandbox. The selection criteria must be fair and should in our opinion be the same throughout Europe. If we fail to provide fair and transparent selection criteria, sandboxes may risk limiting rather than strengthening competition.
• And, third, data protection authorities are well suited to run regulatory AI sandboxes. We know how to carry out impact assessments. We have decades of experience as regulators of emerging technologies, and some of us are already successfully running AI sandboxes. Any alternative choice regarding the assignment of regulatory competences in this field should therefore be well pondered.

Thank you for your attention.

Fra direktestrømmen under seminaret om AI Act i EU-parlamentet tirsdag 7. mars.

Denne bloggen er basert på en innledning som jeg holdt på seminaret Menneskerettslige perspektiver i den digitale tidsalderen – Institutt for offentlig rett (uio.no) den 2.  mars.

Det fremgår av PSTs trusselvurdering for 2023 at de nå anser ekstreme miljøvernaktivister som en mulig risiko i det norske samfunnet. PST sin trusselvurdering danner grunnlaget for det arbeidet som de, og mange andre virksomheter, gjør for å sikre samfunnet vårt og egne verdier. PST og etterretningstjenesten er gitt kraftige virkemidler og digitale verktøy som skal gjøre de i stand til å møte det trusselbildet de til enhver tid har identifisert.

Ett av disse virkemidlene finner vi i forslaget til ny etterretningslov, hvor en av bestemmelsene som ligger på bordet åpner opp for tilrettelagt innhenting – masseinnsamling av informasjon og data om norske borgeres bevegelser i det digitale rom.

Sett opp mot det faktum at så og si alt vi gjør i dag skjer nettopp i det digitale rommet , og det faktum at trusselbildet er i stadig endring,  så er det grunn til å rope et varsko for personvernet.

Det dynamiske risikobildet som ligger til grunn for metoder og valg som myndighetene gjør tilgjengelige for politi og etterretning, gjør det umulig for oss borgere å ha oversikt og kontroll over når man kan bli overvåket, og når man går klar. For eksempel: «I fjor var jeg en ganske ufarlig miljøverner – i år er jeg en trussel.»

Personvern og ytringsfrihet under press

Den grunnleggende retten til en privat sfære, fri for andres blikk, er under press når samfunnets behov for sikkerhet blir ivaretatt ved å ta i bruk kraftige digitale overvåkningsverktøy. Dette truer våre grunnleggende menneskerettigheter.

Den Europeiske Menneskerettighetsdomstolen formulerte det slik i saken Roman Zakharov v. Russia (2015):

«In view of the risk that a system of secret surevilance set up to protect national security may undermine or even destroy democracy under the cloak of defending it, the Court must be satisfied that there are adequate and effective guarantees against abuse…»

Men det er ikke bare personvernet som er under press i dette bildet. Personvern og ytringsfrihet henger uløselig sammen. Uten personvern, ingen reell ytringsfrihet.

Slik digital masseovervåkning som nå blir løftet frem som verktøy mot ulike trusler, vil også kunne ha en omfattende nedkjølende effekt på ytringer.

Frykten for andres blikk gjør at vi justerer oss inn og demper våre ytringer. Dersom det i tillegg er statens blikk vi er usikre på om når oss, gjør det noe fundamentalt med samfunnet vårt.

Kanskje blir et brennende innlegg på Aftenpostens Si;D fra en miljøengasjert 12-åring det første digitale sporet som blir samlet inn av PST om et ungt og engasjert menneske?

Jeg lar det spørsmålet stå.

Press fra kommersielle aktører

Presset på grunnleggende menneskerettigheter kommer imidlertid ikke bare fra stater og myndigheter i en utrolig tid. Et åpenbart press kommer også fra kommersielle aktører.

En enorm Pacman i form store kommersielle markedsaktører som Google, Meta og Tik Tok saumfarer digitale flater og labyrinter for alt av data som kan være av interesse. Og alt er tilsynelatende av interesse og har kommersiell verdi.

Noen av dere husker sikkert den lille ballen med den store munnen som slukte alt den kom over på sin vei i sin digitale labyrint. Spillet var nærmest hypnotisk, husker jeg, og det var umulig å legge fra seg.

Slik er også tjenestene og produktene disse kommersielle aktørene sender ut i samfunnet – oppslukende og umulig å legge fra seg. Og vi legger igjen digitale spor fra første skudd – og vi er hekta. Jo lenger vi er på, jo mer data samles inn om oss.

På begynnelsen av 2010-tallet ble sosiale plattformer sett på som en nøytral fasilitator for utøvelse av rettigheter, både ytringsfriheten og informasjonsfriheten. Dette bildet har endret seg.  Det er ikke lenger mulig å se bort fra den enorme påvirkningen disse kommersielle plattformene har på politikk, samfunn og demokratiet.

Facebook og Tik Tok lever av å forutse, predikere og forme vår oppførsel og våre meninger. De gjør dette ved å samle inn enorme mengder data. Innsamlingen i seg selv legger press på personvernet, men også hvordan de bruker dataene er en trussel mot grunnleggende rettigheter som personvern, ytringsfrihet, meningsfrihet og informasjonsfrihet.

Når menneskerettighetene debatteres, må vi derfor ta inn over oss og ta med i vurderingene hvilken makt disse selskapene har. Vi har også endt opp med å mer eller mindre bevisst og stilltiende akseptere og tillate at disse store, kommersielle aktørene samler inn enorme mengder med data for kommersielle formål.

Og det er ikke bare den markedsføringsmessige interessen som ligger til grunn for denne omfattende innsamlingen av data.

Akkurat som Pacman så lever kunstig intelligens (KI) av data. Alle disse store aktørene utvikler og tar i bruk KI. Med det datagrunnlaget de har, som de færreste nasjoner eller andre aktører er i nærheten av å ha, så vil de bli – eller forbli – svært mektige premissgiverne for samfunnsutviklingen fremover.

Informasjonsfrihet og meningsfrihet under press

Pacmans innsamling og bruk av data setter jo åpenbart personvernet under press, men også informasjonsfriheten og meningsfriheten. For hvor frie er vi i meningsdannelsen og utviklingen vår, hvis vi risikerer å få presentert falske nyheter eller fakta som er tilpasset oss basert på algoritmer som er utviklet av Kina?

En ungdom jeg kjenner begynte å stille spørsmål ved om jødeforfølgelsen og Holocaust virkelig hadde skjedd. Vedkommende satt ved middagsbordet og stilte spørsmål ved vår tids største forbrytelse. Hen hadde sett på Tik Tok at det var mange som mente jødeforfølgelsen var oppspinn og at jødene skulle ta over verden. Hen hadde altså falt ned i et kanin-hull på Tik Tok. Et algoritmehull.  Dette er en ressurssterk 14-åring og hen har handlekraftige foreldre. Hen hadde sikkert kommet opp av det hullet uten hjelp også, men hen fikk klar og tydelig beskjed fra sine foresatte og mistet Tik Tok på mobilen før middagen var omme.  

Men ikke alle kommer opp av algoritme-hullet.

Hvordan sikrer vi at dagens barn og unge – fremtidens digitale borgere, de som skal forsvare og forvalte demokratiet vårt – kan utvikle seg og danne seg egne, frie meninger i en forsvarlig ramme, når Tik Tok og andre markedskrefter er premissleverandør?

Jeg lar også det spørsmålet stå åpent.

Vi må sikre kollektive mekanismer

Digital teknologi eksisterer ikke i et vakuum. Teknologien kan være et kraftig verktøy for menneskelig fremgang og bidra til å fremme og beskytte menneskerettighetene. Teknologien har gjort kommunikasjon og deling av informasjon enklere, og gjennom det styrket ytringsfriheten og muligheten til demokratisk deltagelse.

Men dataintensive teknologier bidrar altså samtidig til å skape et samfunn der både stater og kommersielle private aktører i økende grad er i stand til å spore, overvåke, analysere, forutsi og manipulere folks oppførsel på en måte vi ikke tidligere har sett.

Denne siden ved den teknologiske utviklingen medfører betydelig risiko for menneskeverd, autonomi og personvern og utøvelsen av menneskerettighetene generelt, hvis den får foregå uten relevante og adekvate motstemmer og sikkerhetstiltak. Vi må sikre kollektive beskyttelsesmekanismer. Lover, regler og krav til digitalisering og bruk av data og KI må på plass.

Hvis vi ikke klarer å sikre slike kollektive mekanismer nå, vil det være mye vanskeligere å få det på plass senere. Vi må sikre det kollektive gode i systemene vi nå åpner for og utvikler, før det er for sent.  

Teknologien er i seg selv nøytral, og utviklet og brukt riktig kan den gi store samfunnsmessige gevinster. Men uten en åpen, offentlig samtale, bevisste politikere og beslutningstakere og hensiktsmessig regulering og nødvendige kontrollmekanismer, for å sikre nettopp det kollektive gode, kan dette også bære galt av sted. 

Vi ser stadig at det legges en snever forståelse av retten til personvern til grunn i avveiningen mot forståelsen av for eksempel nasjonal sikkerhet, som på sin side defineres vidt. Menneskerettighetene er ikke mer robuste enn det vi som demokrati og samfunn gjør de til. Det er vi som må beskytte, verne og sikre rettighetene. Myndighetene må derfor ta konkrete grep for å adressere utfordringene som ligger i digitalisering, slik at vi bekrefter og sikrer menneskerettighetene.

Dersom myndigheter og politikere lar digitaliseringsbehovet og -utviklingen gå på bekostning av for eksempel personvernet, slik Personvernkommisjonen peker på at skjer, vil dette helt klart svekke både relevans og vekt av våre grunnleggende menneskerettigheter.

Det må vi ikke la skje.

Vi må stille krav til myndighetene, politikere og lovgivere om å ta hensyn til grunnleggende menneskerettigheter i digitaliseringen av det norske samfunnet. Ethvert digitaliseringsinitiativ må vurderes opp mot effekten det kan ha på personvernet, ytringsfriheten, retten til fri meningsdannelse og informasjonsfriheten.

I det store bildet så handler det om hvilket samfunn vi vil ha.

Masseinnsamling av personopplysninger og myndighetsovervåking av hensyn til nasjonal sikkerhet er blitt kraftig utvidet gjennom flere lovendringer. Det vil påvirke den enkeltes frihet og kan svekke vårt demokratiske samfunn.

Datatilsynet mener det er på høy tid at alle nå må erkjenne konsekvensene av det samlede overvåkingstrykket og utrede metodebruken i justissektoren.

Fem store systemer med kapasitet til å kartlegge alt fra flyreiser til internettbruk er vedtatt eller foreslått.

Etterretningstjenesten skal operere to systemer, omtalt som bulkinnhenting og tilrettelagt innhenting. Ved bulkinnhenting samles det inn store mengder rådata fra ulike kilder som det så kan søkes i uten forhåndskontroll. Tilrettelagt innhenting innebærer søk i metadata og innholdsdata fra norske internettkabler, og i motsetning til for bulkinnhentingen, er det lagt opp til domstolskontroll for deler av søkene. Systemene skal i utgangspunktet ikke fange opp norske borgeres kommunikasjon, men i realiteten vil det omfatte nesten alle aktiviteter på internett.

Politiet har allerede fått hjemler for to systemer, ett for overvåking av flypassasjerer og ett for innhenting av IP-adresser. Ingen av dem er underlagt uavhengig forhåndskontroll. Opplysninger om alles reisemønstre, reisefølge, betalingsmetoder og en rekke andre kategorier skal danne grunnlag for søk etter personer som ikke nødvendigvis politiet er kjent med fra før. Når innsamling av IP-adresser er i gang, vil politiet få mulighet til å få oversikt over alle koblinger fra den enkeltes pc, mobil eller ulike apper til nettet. Dette kan brukes til å kartlegge både internettbruk og bevegelser.

Ny teknologi i form av kunstig intelligens og maskinlæring gjør at overvåkingskapasiteten øker kraftig.

Hvis lovforslaget som er til behandling i Stortinget får flertall, skal PST uten forhåndskontroll kunne innhente nærmest ubegrenset informasjon om den enkelte som er tilgjengelig på internett. Kilder som kan sammenstilles kan være Facebook-grupper og andre sosiale medier, kommentarfelt og ulike nettgrupper for meningsutveksling.

Dette innebærer en omfattende overvåking av norske borgeres liv.

Felles for alle forslagene er at sentrale høringsinstanser som Datatilsynet, NIM, Advokatforeningen og Tekna mener at systemene ikke er i tråd med praksis fra EMD og EU-domstolen. Kritikken går i hovedsak på fraværende målretting og manglende uavhengig forhåndskontroll.

Ny teknologi i form av kunstig intelligens og maskinlæring gjør at overvåkingskapasiteten øker kraftig. Søketeknikker gjør det mulig å hente ut opplysninger om den enkelte som ikke er mulig uten å sammenstille store mengder data. Overvåkingspotensialet oppstår allerede ved innsamlingen, det kan påvirke i hvilken grad vi våger å bruke internett til å hente kunnskap og utveksle meninger.

For å ivareta tilliten til myndighetene og begrense de negative følgene av overvåking er det viktig med klare skranker i form av lovgivning og god kontroll. Datatilsynet arbeider for ansvarlig bruk at kunstig intelligens. Det gjøres et stort arbeid og stilles strenge krav til bruk av personopplysninger i utviklingen av KI-verktøy for offentlige og private virksomheter. Regelverket for å kontrollere utviklingen av kunstig intelligens i justis og forsvarssektoren er i dag lite utviklet. Selv helt sentrale bestemmelser som at algoritmer ikke skal diskriminere, mangler.

Personvernkommisjonen har sin utredning fra 2022 pekt på at åpenhet bidrar til å skape tillit. Mangel på informasjon og gjennomsiktighet om teknologibruk, kombinert med en stadig utvikling av kraftige datainnsamlings- og analyseverktøy for bruk i justissektoren, kan føre til svakere personvern og en nedkjølingseffekt hvor den enkelte velger å ikke ytre seg i frykt for overvåking.

I Datatilsynets personvernundersøkelse 2020 svarer 16 prosent at de har unnlatt å delta i en debatt i kommentarfelt eller på Facebook fordi de er usikre på om myndigheter slik som politiet, PST eller etterretningstjenesten, kan få tilgang til informasjonen. Dette er et oppsiktsvekkende høyt tall i et land hvor tilliten til offentlige myndigheter generelt sett er høy.

Dere finner all informasjon om saken og kan lese høringssvaret vårt til forslaget på datatilsynet.no

Personvern er en individfokusert rettighet. Personvernforordningen gir enkeltindivider rettigheter og pålegger virksomheter plikter for å møte disse. Den regulerer maktforholdet mellom staten og private selskaper på den ene siden og enkeltindividet på den andre.

Samtidig er personvern en kollektiv verdi. Selv om Margaret Thatcher i sin tid insisterte på at det ikke fantes noe samfunn, vil de fleste være enige i at hvor gode og frie liv vi kan leve avhenger av samfunnsstrukturene vi inngår i. Graden av den enkeltes frihet er uløselig forbundet med hvor fritt samfunnet vårt er.

Å kun forstå personvern som et individuelt anliggende støter også på problemer i vår stadig mer sammenkoblede verden. Min Facebook-aktivitet sier ikke bare noe om meg, men også mitt nettverk. En gentest avslører ikke bare mine, men også min families gener.

Personvernkommisjonen peker helt korrekt på at det er «et grunnleggende problem at det er vanskelig å ta stilling til konsekvenser av egne handlinger som rammer et abstrakt kollektiv, eller som bidrar til skadevirkninger for andre en gang i fremtiden».

Det er mulig å sammenligne denne samfunnsutfordringen med klimaendringer. Mange små, individuelle valg fører i sum til kollektiv skade.

Skandaler eller villet politikk?

Noen temaer kommer først på den politiske agendaen når det skjer en skandale. Bedre regler for sikkerhet på oljeplattformer kom kjapt på plass etter Alexander Kielland-katastrofen. Enron-skandalen bidro til strengere korrupsjonslovgivning. I Nederland kom personvern og algoritmekontroll på agendaen da skattemyndighetene feilaktig ba om tilbakebetaling av barnetrygd – basert på en skjev algoritme som profilerte minoriteter som svindlere. Skandalen resulterte i at regjerningen gikk av og at det har opprettet et algoritmetilsyn som ble lansert for et par uker siden.

Må det virkelig en skandale til for at vi får politisk styring av bruk av personopplysninger?

Jeg håper ikke det. Og her er det politikken kommer inn. Selv om de fleste vil mene at vi fremdeles ikke gjør nok for å møte klimaendringene, har vi, nasjonalt og internasjonalt, forhandlet frem avtaler og reguleringer (altså politikk!) for å skape endring. Det samme må skje på personvernfeltet. Vi trenger en personvernpolitikk. «Demokratisk og regulatorisk kontroll over hvordan personopplysninger samles inn og brukes», som kommisjonen skriver.

Politikk er altså et demokratisk samfunns svar på en utfordring. Bevisstheten rundt utfordringene knyttet til digitale samfunns bruk og misbruk av personopplysninger har økt jevnt og trutt de siste årene. Tiden er overmoden for handling.

Et startskudd for en nasjonal personvernpolitikk

Kommisjonens rapport er startskuddet vi behøver for en politikkutforming. Det er viktig at personvern er et tema også utenfor ekspertsirklene og at beslutningstakere tar ansvar. Personvern må på agendaen i kommunestyrer, i komiteer og ledergrupper og på Stortinget. Store og viktige spørsmål bør stå på agendaen: Hvordan påvirker bruk av personopplysninger demokratiet vårt? Hvordan kan vi få til en digitalisering som skjer i tråd med grunnleggende menneskerettigheter? Hva er det nasjonale handlingsrommet for politikkutforming på personvernområdet?

Vi bør, som samfunn, ha som ambisjon å løfte frem personvern som et selvstendig politikkområde uten at det skal komme som et resultat av en skandale.

Forrige fredag ble disse og flere andre spørsmål diskutert da Datatilsynet og Teknologirådet arrangerte Personverndagen 2023. Opptak fra arrangementet ligger i artikkelen. Vi håper at diskusjonene fortsetter i andre kanaler, blant annet i vår kommende podcastserie dedikert til personvernpolitikk og andre tema fra Personvernkommisjonens rapport.