1. Kan vi bruke personopplysninger i KI-løsningen?

Et spørsmål som går igjen i Datatilsynets sandkasse er: Har vi lov til å bruke personopplysninger i løsningen vår?

Svaret er som regel: Det kommer an på.

For at behandlingen av personopplysninger skal være lovlig, må virksomheten ha et rettslig grunnlag, også ved utvikling av kunstig intelligens. Dette er i tråd med personvernforordningen artikkel seks.

Kunstig intelligens omfatter ofte flere faser: utvikling, anvendelse (bruken av selve løsningen) og etterlæring. Disse fasene kan overlappe, noe som gjør det krevende å avgjøre når én fase slutter og en annen begynner. Og selv om virksomheten har rettslig grunnlag for én fase, betyr det ikke nødvendigvis at dette grunnlaget dekker andre faser.

Vi møtte på denne problemstillingen sammen med NAV – i et av de første sandkasseprosjektene våre. Her kom vi frem til, at NAV hadde hjemmel i folketrygdloven til å behandle brukernes opplysninger for å yte tjenester. Loven er derimot ikke tydelig på om de kan bruke historiske data om sykemeldinger til trening av algoritmene.

En annen viktig læring, er at det er viktig å identifisere hvilke data som faktisk inneholder personopplysninger. I sandkasseprosjektet med Juridisk ABC kom vi frem til at de kunne nytte lovtekster, forskrifter, forarbeider og lignende juridiske kilder i den generative KI-løsningen for arbeidsrett. Det var ikke krav om rettslig grunnlag ganske enkelt fordi kildene ikke inneholdt personopplysninger. Derimot inneholdt dommer og kjennelser ofte omfattende mengder personopplysninger – som kan være svært sensitive for de som er involvert. Derfor måtte Juridisk ABC ha et rettslig grunnlag for å inkludere disse i KI-løsningen.

2. Er anonymisering løsningen?

Flere av virksomhetene i sandkassen har ønsket å anonymisere personopplysninger. Anonymiserte data er jo ikke omfattet av personvernregelverket, så det kan forenkle mye. Men – det har i praksis vist seg krevende å få til faktisk anonymisering.

Til tross for betydelige fremskritt innen anonymiseringsteknologi, som skal hindre identifisering av enkeltpersoner i datasett, har det parallelt vært en utvikling av analyseteknologi som øker risikoen for re-identifisering. Mer offentliggjøring av offentlige data har også gjort det mulig å sammenstille flere datapunkter fra ulike kilder, hvilket øker utfordringen.

I sandkassen har vi sett flere eksempler på bruk av ny teknologi for å redusere risikoen for re-identifisering. Finansvirksomheten Finterai ville bruke føderert læring for å kunne dele innsikt fra transaksjonshistorikk mellom banker – uten å eksponere opplysninger som kunne knyttes til enkeltpersoner.

Teknologiselskapet Mobai hadde en lignende tilnærming, men benyttet homomorfisk kryptering for å gjøre re-identifisering vanskeligere. Ved hjelp av denne teknologien kunne aktører analysere krypterte personopplysninger uten at de måtte dekrypteres. Dette skjer ved at de bevarer de egenskapene ved personopplysningene som de ønsker å bruke, og fjerner resten.

Personvernfremmende teknologier, som føderert læring og homomorfisk kryptering, markerer viktige skritt i riktig retning for å få til godt personvern i praksis. De bidrar ikke bare til å redusere risikoen for re-identifisering av personer som er i et KI-datasett. De gir også virksomheter bedre muligheter til å balansere innovasjon med personvern og informasjonssikkerhet.

3. Kan kunstig intelligens bidra til dataminimering?

Prinsippet om dataminimering kan ved første øyekast virke som en motpol til kunstig intelligens. Kunstig intelligens trenger store mengder personopplysninger for å lære. Prinsippet om dataminimering slår fast at du skal samle inn minst mulig personopplysninger – kun det som er nødvendig for å oppnå formålet.

I flere sandkasseprosjekter har vi utforsket dette tilsynelatende dilemmaet. For eksempel har vi i sammen med sikkerhetsselskapet Doorkeeper sett på hvordan KI-baserte overvåkingskameraer kan minimere innsamlingen av personopplysninger. Blant annet kan de sladde mennesker i videostrømmen eller aktivere løpende opptak kun når en spesifikk hendelse utløser det. Vi har også diskutert situasjoner man ikke vet hvilke opplysninger som er nødvendige før de har analysert data over tid. Er det brudd på dataminimeringsprinsippet, om det i ettertid viser seg at personopplysninger har blitt behandlet uten å være relevante? Vi har utforsket problemstillingen i sandkassen, men som i mange andre tilfeller vil svaret avhenge av den konkrete konteksten.

4. Hvordan skaper algoritmer urettferdighet?

Helsesektoren har vært godt representert i sandkassen, blant annet gjennom prosjekter med Helse Bergen og Ahus. Disse har fokusert på KI-løsninger som skulle forutsi hjertesvikt og peke ut pasienter med fare for rask reinnleggelse på sykehus.

Kunstig intelligens i helsesektoren reiser viktige spørsmål om algoritmeskjevheter, som kan føre til at pasientene blir diskriminert. I begge prosjektene var KI-verktøyene ment som beslutningsstøtte og ikke for å gjennomføre automatiserte avgjørelser uten menneskelig innblanding. Likevel, det er en utbredt forståelse for at kunstig intelligens kan videreføre og forsterke eksisterende diskriminering i samfunnet. I tilfeller hvor algoritmene kommer til feil vurdering av folks helse, kan dette ha alvorlige konsekvenser.

I Ahus-prosjektet så de at dårlig datakvalitet og feil i datagrunnlaget potensielt kunne resultere i uriktige og diskriminerende resultater. Og de så på forskjellige metoder for å avverge dette.

For virksomheter som vil avverge algoritmeskapt diskriminering, har Likestillings- og diskrimineringsombudet en nyttig veileder om innebygd diskrimineringsvern. Den er rettet mot de som er ansvarlige for utvikling, anskaffelse og bruk av ML-systemer, og skal gjøre dem kjent med diskrimineringsregelverket, slik at de kan forebygge ved å vurdere diskrimineringsrisikoen teknologien medfører.

5. Hvem har ansvaret: utvikler eller kunde?

I flere sandkasseprosjekter har vi diskutert ansvarsforhold knyttet til behandlingen av personopplysninger i KI-løsninger: Hvem er behandlingsansvarlig? Hvem er databehandler? Og bør utviklere ta et større ansvar for å hjelpe virksomheter med å etterleve personvernregelverket?

En leverandør har ikke nødvendigvis et direkte ansvar for at kjøperne av produktet følger personvernregelverket, når løsningen blir brukt til å samle inn og behandle personopplysninger. Likevel bør de levere løsninger som legger til rette for at kunden, som ofte er å regne som behandlingsansvarlig, kan overholde regelverket i praksis.

I noen tilfeller kan det også være hensiktsmessig at utviklere eller leverandører tar på seg mer ansvar, for å sikre viktige personvernhensyn. Dette kan for eksempel være knyttet til tilgangskontroll eller informasjonssikkerhet.

Et eksempel på at utvikleren tar mer ansvar for å forbedre personvernet, ser vi i prosjektet med Secure Practice. Denne teknologivirksomheten hadde som mål å gi persontilpasset opplæring i cybersikkerhet. Sikkerhetsopplæringen var ment for ansatte i virksomheter, som ville kjøpe tjenesten fra Secure Practice. I tillegg ville ledelsen i disse virksomhetene få statistikk over ansattes kunnskaps- og interessenivå innenfor informasjonssikkerhet. For å kunne levere tjenesten uten at informasjon om ansatte kan misbrukes av ledelsen, drøftet deltakerne i prosjektet at det kunne være nødvendig å holde tilbake personopplysninger fra kunden. For at dette skulle være mulig, vurderte de en løsning med felles behandlingsansvar. Secure Practice og kunden vil da i fellesskap fastsette formålene og midlene for behandlingen av arbeidstakers personopplysninger.

Dette viser hvor viktig det er å avklare og plassere ansvarsforhold for å utvikle løsninger med godt personvern. Klare ansvarsforhold bidrar ikke bare til bedre etterlevelse av regelverket. Det kan også bidra til økt tillit mellom leverandører og kunder.

6. Hvorfor maser vi så fælt om at personvernet må tidlig på plass?

Har du hørt om innebygd personvern? Det er et prinsipp i personvernregelverket om at tekniske systemer og løsninger blir utviklet slik at personvernet blir ivaretatt. Poenget er å sikre at personvernet i systemet er gjennomtenkt, heller enn å forsøksvis bli klattet på til slutt. I den nye digitaliseringsstrategien slår regjeringen fast at alle relevante IT-løsninger i offentlig sektor skal ha innebygd personvern. Men hva betyr det i praksis?

Mange av virksomhetene har kommet til sandkassen med KI-prosjekter i konseptfasen. Erfaringen fra disse prosjektene er at tidlige veivalg har stor betydning for hvor lett eller vanskelig det blir å etterleve kravene i personvernregelverket. 

Flere eksempler fra sandkassen illustrer dette, spesielt når det gjelder lagring av personopplysninger for KI-formål. For eksempel kan lagring av store mengder personopplysninger sentralt på en felles server, gjøre dataene sårbare og øke angrepsflatene. Da må strenge organisatoriske og tekniske tiltak til for å sikre opplysningene, ettersom lagringen innebærer en større risiko for de registrerte. På en annen side kan desentralisert lagring – for eksempel ved kantprosessering (edge computing) – i visse tilfeller redusere personvernrisikoen. Det forenkler virksomhetens arbeid med informasjonssikkerhet.

Ett eksempel på desentralisert lagring er Doorkeepers løsning, der videostrømmen fra et overvåkingskamera ble sladdet direkte i kamerahuset før opptakene ble sendt videre til et brukergrensnitt. Et annet eksempel var et prosjekt med Ruter, som ønsket lokal lagring på brukernes egne mobiltelefoner i forberedelsesfasen til å utvikle KI.

Hvor data skal lagres, er neppe det første du tenker på etter å ha fått en ide om en genial ide. Å tenke på det tidlig nok kan riktignok spare deg for mye frustrasjon, og brukerne for risiko.

Dette er særlig relevant for virksomheter med begrensede ressurser – å utvikle løsninger som fra starten ikke krever omfattende tiltak for å oppfylle personvernregelverket. Å tilpasse ferdigutviklede løsninger i etterkant kan være både tidkrevende og kostbart.

I undersøkelsen presenterer vi funnene fra en befolkningsundersøkelse som ble utført av analyseselskapet Opinion på vegne av Datatilsynet. Vi spurte blant annet om hva folk tenker om kunstig intelligens, og vi ba dem om å ta stilling til ulike påstander.

For at maskinlæringsløsninger skal kunne gi presise prediksjoner eller anbefalinger, kreves det ofte bruk av store mengder data. Disse dataene handler ofte om mennesker og vil derfor være å anse som personopplysninger.

I undersøkelsen vår er nesten syv at ti enige i at kunstig intelligens vil utfordre personvernet ved at informasjon om dem samles inn og brukes på måter de ikke er enige i.

Vi har også stilt spørsmål om kunstig intelligens i arbeidslivet. Historisk sett har teknologiske endringer i arbeidslivet skapt stort engasjement ettersom det kan rokke på folks livsgrunnlag, for eksempel om de vil ha en jobb og inntekt i fremtiden.

Omtrent halvparten (51 prosent) sier seg enige i at kunstig intelligens vil føre til at flere mister jobben, uten at det skapes nok nye jobber. Samtidig sier nesten halvparten (47 prosent) seg enige i at kunstig intelligens vil bedre arbeidslivet fordi mennesker slipper å gjøre oppgaver som er kjedelige eller farlige.

Holdninger til konkret bruk av kunstig intelligens

I undersøkelsen vår ba vi videre folk om å ta stilling til konkrete scenarioer hvor KI kan brukes.

Den aktiviteten flest (42 prosent) er positive til, er å bruke kunstig intelligens til å stille diagnoser og foreslå behandlinger. Dette kan være fordi mange ser potensialet og nytten ved slik bruk, samt en allerede etablert tillit til helsesektoren. Samtidig er 41 prosent negative, noe som indikerer bekymring for mulige negative konsekvenser.  

Når det gjelder bruken av kunstig intelligens til å behandle lånesøknader i banken, er den største andelen (45 prosent) av folk negative. Dette er bruksområder hvor det har foregått diskusjoner om etiske problemstillinger, slik som rettferdig behandling og diskriminering, og hvorvidt en algoritme kan ta en god beslutning om hvem som får – eller ikke får – stønad eller lån.

Det folk er mest negative til er bruk av kunstig intelligens for måling og kontroll av produktivitet på jobben. Gjennomgående i undersøkelsene Datatilsynet har gjennomført, ser vi at folk er skeptiske til ulike former for kontrolltiltak i arbeidslivet, uavhengig av hvilken teknologi som blir brukt.

Myndighetene bør ta en aktiv rolle

Det er naturlig å tenke på regulering som en løsning på mange av utfordringene som kunstig intelligens kan by på. Men i hvilken grad mener folk at myndighetene bør ta en aktiv rolle i å regulere kunstig intelligens for å sikre en ansvarlig utvikling?

Svarene viser at det er bred støtte (84 prosent) for at myndighetene bør ta en aktiv rolle i reguleringen av kunstig intelligens.

Dette synet har også vært fremtredende i den politiske debatten de siste årene. For eksempel var hovedbudskapet i Personvernkommisjonens rapport fra 2022 at det er nødvendig å få på plass en nasjonal personvernpolitikk for at digitaliseringen skal skje i tråd med grunnleggende menneskerettigheter.

I den nye digitaliseringsstrategien skriver regjeringen at de ser på digitalisering som en viktig del av løsningen på samfunnsutfordringene våre. Hvordan strategien følges opp i praksis, vil vise om myndighetene faktisk kan bidra og oppfordre til en utvikling av kunstig intelligens på en måte som bevarer tilliten i samfunnet, eller om folk vil være mer skeptiske til bruken av kunstig intelligens på måter som påvirker deres hverdag.

Personvernundersøkelsen 2024, utført av analyseselskapet Opinion på vegne av Datatilsynet, gir innsikt i dette spørsmålet. Et landsrepresentativt utvalg på 1519 personer over 15 år svarte på undersøkelsen i januar i år.

Hvilke virksomheter har vi tillit til?

Undersøkelsen tok blant annet for seg folks holdninger til hvordan virksomheter håndterer personopplysninger. Respondentene fikk følgende spørsmål om tillit:  

Svarene viser at det er klare forskjeller mellom hvem vi har tillit til. Grovt oppsummert kan det sies at flere offentlige virksomheter nyter høy tillit når de behandler våre opplysninger, mens private virksomheter har mindre. De vi har minst tillit til er tjenestene som er levert av de store tekno-gigantene, slik som Google og Meta. 75 prosent har liten eller ingen tillit til hvordan søkemotorer oppbevarer og bruker personopplysninger på, mens 83 prosent har liten eller ingen tillit til hvordan sosiale medier gjør det.

Den lave tilliten til denne type tjenester kan ses i sammenheng med negativ medieomtale over flere år når det kommer til misbruk av brukernes personopplysninger. Eksempler på dette er Cambridge Analytica-saken fra 2018, og senest i år kom det frem at flere sosiale medie-tjenester brukte eller planla å bruke innholdet til brukerne sine for å trene kunstig intelligens.

Apper for spill og underholdning skiller seg også negativt ut. Spillindustrien, som nå overgår filmindustrien i inntjening, krever ofte omfattende mengder personopplysninger av spilleren for å opprette brukerkonto. I tillegg kan mange opplysninger bli samlet inn mens du spiller. Dette reiser viktige spørsmål om hvordan de ivaretar personvernhensyn, særlig med tanke på yngre spillere. At folk har lav tillit til disse kan tolkes som om at de er kritiske og uttrykker en sunn skepsis til hvordan slike tjenester behandler personopplysninger.

Fører manglende tillit til at vi faktisk endrer oppførsel?

Men hvordan påvirker tillit vår oppførsel på nett? Det kan være vanskelig å koble en holdning til en handling. For å grave mer i dette, spurte vi folk om de har handlet på en bestemt måte i tilfeller hvor de er usikre på hvordan deres opplysninger blir brukt.

På spørsmålet om hvorvidt folk har tatt grep eller unnlatt å gjøre noe på grunn av denne usikkerheten, er svaret  tydelig «ja» for store deler av befolkningen. 64 prosent har unnlatt å ta i bruk en tjeneste eller et produkt som følge av at vi er usikre på hvordan personopplysningene blir brukt, og 74 prosent har latt være å laste ned en app.

At folk ikke laster ned visse apper kan være et tegn på sunn skepsis. Mange apper samler inn mer informasjon om oss enn det som er nødvendig. Mange aktører videreselger også informasjon om oss til annonsører, for at de skal sende deg målrettet reklame.

Undersøkelsen gir et tydelig signal til kommersielle aktører: Hvis de ikke oppfyller brukernes forventninger til personvern, risikerer de at brukere lar være å ta i bruk tjenestene deres eller at de begrenser aktiviteten sin i tjenesten.

Ytringsfriheten på kommersielle plattformer?

Undersøkelsen viser at mange lar være å delta i meningsutvekslinger på nett fordi de er usikre på hvordan opplysningene kan bli brukt. En betydelig andel, 47 prosent, har unngått diskusjoner i sosiale medier og nettaviser, og 35 prosent har gått så langt at de har slettet en konto i sosiale medier. Dette kan potensielt påvirke den offentlige debatten i en tid preget av polarisering og meningssiloer. Mye av den offentlige meningsutvekslingen foregår på plattformer som mange er skeptiske til å bruke.

Kanskje mest bekymringsverdig er at 14 prosent, en ikke ubetydelig andel av befolkningen, har unnlatt å søke etter hjelp om sensitive problemer i en søkemotor. For mange er et enkelt søk på Google det første steget mot å få hjelp, og når tilliten til disse plattformene svikter, kan det få alvorlige konsekvenser.

Oppsummert viser undersøkelsen at det er varierende tillit til de forskjellige aktørene på nett, og at mange unnlater å ta i bruk forskjellige tjenester på grunn av usikkerhet rundt hvordan deres personopplysninger håndteres. Dette viser at tillit er avgjørende for hvordan vi bruker digitale plattformer og tjenester.  

Overvåkingskameraer har gjennomgått en bemerkelsesverdig teknologisk utvikling de siste tiårene. Et av de viktigste fremskrittene er intelligent videoanalyse, der algoritmer analyserer og tolker videostrømmer, uten hjelp fra mennesker.

Teknologien kan utføre et mangfold av oppgaver. Alt fra enkle ting, som å detektere når en dør åpner seg, til mer inngripende former for overvåking, som involverer avansert analyse av ansikter og bevegelses- og atferdsmønstre.

Men er det mulig å bruke slik teknologi, som kan overvåke mennesker, og samtidig ivareta kravene i personvernregelverket? Dette var bakgrunnen for at Datatilsynet samarbeidet med sikkerhetsselskapet Doorkeeper i vår regulatoriske sandkasse.

Er det mulig med personvernvennlig overvåking?

I prosjektet utforsket vi mulighetene for å konfigurere intelligent videoanalyse slik at behandlingen av personopplysninger blir mindre inngripende. Doorkeepers løsning for å gjøre dette var blant annet å:

• Unngå kontinuerlig opptak av videostrømmen. Doorkeeper vil kun «aktivere» opptak når løsningen registrerer en forhåndsdefinert sikkerhetstrussel, for eksempel knusing av et butikkvindu. Dette vil gjøre at virksomheten ikke har løpende opptak av personer som ikke er relevante for hendelsen.
• Ansikter og menneskeformer sladdes i sanntid fra videostrømmen. Dette betyr at personene i videostrømmen ikke vil være direkte identifiserbare med mindre en uønsket hendelse oppstår.

Vi har også diskutert hvorvidt intelligent videoanalyse vil endre hvor det er lovlig å overvåke. Datatilsynets funn tyder på at dette i liten grad endres selv med kameraer som kan fjerne visse personopplysninger fra videostrømmen. For eksempel er det bare offentlige myndigheter som har lov til å overvåke offentlige steder. Dette endres ikke selv om private virksomheter tar i bruk mer «personvernvennlige» løsninger. 

Men et interessant unntak fra dette er når kameraet konfigureres som en sensor med formål om å detektere brann- og røykutvikling. I et hypotetisk tilfelle hvor et slikt kamera skal detektere brann på en kirkevegg, vil løsningen muligens oppfylle lovkravene hvis behandlingen av personopplysninger er svært begrenset og metoden er bedre egnet til å oppnå formålet enn andre mindre inngripende løsninger, som for eksempel en vanlig brannalarm.

Nye bruksområder for overvåkingskameraer

Til tross for at intelligente løsninger i liten grad endrer hvor det er mulig å sette opp et kamera, har mange sett nye bruksområder for teknologien. Ett eksempel på dette er bruken av «feberkameraer» under pandemien. Disse ble installert på sykehus og fotballstadioner for å analysere besøkendes temperaturer og oppdage mulige COVID-19-smittebærere.

I Europa har det også vært en opphetet debatt om intelligent overvåking på kollektivtransport. For eksempel da selskapet Eurostar implementerte intelligente løsninger på sine tog, for å analysere passasjerenes humør og ansiktstrekk. Formålet var å identifisere potensielle trusler mot andre passasjerer.

Personvernproblematikken ved disse eksemplene er todelte. I det konkrete tilfellet er det spørsmål om overvåkingen er forsvarlig, om den er for inngripende og om den oppfyller lovens krav. På et samfunnsnivå handler spørsmålet om den totale graden av kontroll og det voksende «overvåkingstrykket» som gjør at det er stadig færre steder vi kan bevege oss fritt uten å bli observert.

Sikkerhet, overvåking og personvern

Sikkerhet, overvåking og personvern kan være motstridende interesser. På den ene siden kan overvåking være nødvendig for å sikre både mennesker og materielle verdier. Men man har ofte sett at dette kan gå utover integriteten til enkeltpersoner og retten til et privatliv, ved uønsket overvåking i situasjoner man vil være i fred, eller ved misbruk av opplysninger fra videostrømmen.

Teknologi som markedsføres som «personvernvennlig» kan også gi en falsk følelse av trygghet. Som vi har drøftet i sandkasse-prosjektet, er det avgjørende at slik teknologi kommer sammen med konkrete tiltak som begrenser muligheten for brudd på personvern. Dette inkluderer å sørge for at personvern er standardinnstillingen i konfigurasjonen, å ivareta informasjonssikkerheten i alle ledd, og hindre at uvedkommende får tilgang til å se eller manipulere videostrømmen.

Falske positiver og bias i treningen

Et tilbakevendende problem med løsninger som bygger på kunstig intelligens, er falske positiver. Falske positiver kan føre til at behandlingen av personopplysninger blir mer omfattende enn det den ansvarlige virksomheten har lov til. I tilfellet av kameraovervåking for sikkerhetsformål kan det også ha seriøse negative konsekvenser for enkeltpersoner. For eksempel kan en person bli feilaktig beskyldt for handlinger de ikke har begått, eller at man – via biaser i dataene som systemet er trent på – blir profilert basert på hudfarge eller andre sensitive fysiske trekk.

I motsetning vil falske negativer kunne medføre at overvåkingen ikke oppfyller formålene den er ment eller trent å oppfylle. Enhver som benytter intelligent kameraovervåking må derfor følge med på eventuelle falske positiver og negativer, og kontinuerlig tilpasse løsningen slik at den fungerer etter hensikt.

Personvern er både et lovkrav og et konkurransefortrinn

For virksomheter som vil ta i bruk intelligent videoanalyse, vil et godt personvern være et helt klart konkurransefortrinn i markedet. Ved å vise at man tar personvern seriøst – og at man etterlever lovkravene – bygger man tillit hos virksomhetene som skal ta i bruk teknologien – samt ansatte, kunder og andre som er eksponert for overvåkingen.

Norge går nå inn i en intens valgkampperiode fram mot valget 13. september. Datatilsynet har derfor sendt et brev til alle de politiske partiene som sitter på Stortinget, med råd om hvordan de skal behandle personopplysninger i valgkamp.

Åpent brev til de politiske partiene

Målet med brevet er å gi veiledning om hvordan de politiske partiene kan ta personvernhensyn, spesielt med tanke på profilering av velgere og målretting av politiske budskap på digitale plattformer.

Les brevet som ble sendt til de politiske partiene i sin helhet (pdf)

Målretting av politiske budskap er ikke nødvendigvis ulovlig eller problematisk. Regelverket setter imidlertid klare krav til at det skal gjøres på en måte som ivaretar den enkeltes personvern. Dette gjelder ikke bare politiske partier, men alle som annonserer på sosiale medier og andre digitale plattformer.

I rapporten «På parti med teknologien» kartla Datatilsynet hvordan politiske partier målretter budskap mot velgere. Dette gjøres blant annet ved annonsering på digitale plattformer, og i form av direkte velgerkontakt ved husbesøk og ringekampanjer. Ett av funnene var at norske partier var varsomme i bruken av mikromålretting av politiske budskap. Samtidig ga mange av partiene uttrykk for at de stoler på at tjenestene, appene og verktøyene de bruker, er i tråd med personvernregelverket. De gjør derfor ikke egne vurderinger. 

Mange digitale plattformer (slik som Facebook og Google) tilbyr attraktive måter å nå velgere på. Det er imidlertid partiene selv som er ansvarlige for å ivareta personvernet til dem man vil nå frem til.

Datatilsynets råd ved målretting av politiske budskap

Datatilsynet erfarer at alle partiene benytter sosiale medier i en eller annen form i valgkampen. Dette innebærer behandling av store mengder personopplysninger. Vi har derfor gitt følgende råd til de politiske partiene:

• Bli kjent med personvernprinsippene: All behandling av personopplysninger skal skje i tråd med personvernprinsippene. Dette betyr blant annet at behandlingen må være lovlig, rettferdig og gjennomsiktig.
• Vær åpen om hvordan personopplysninger blir brukt: Gi god informasjon om hvilke opplysninger som samles inn, hvor opplysningene er samlet inn fra, til hvilke formål de ersamlet inn og hvem (hvilke tredjeparter) som har tilgang til informasjonen. Målretting av politiske budskap uten informasjon om hvilke opplysninger som ligger til grunn for målrettingen kan være ulovlig.
• Vær bevisst på hvilke typer opplysninger som behandles: Politiske oppfatninger er definert som en «særlig kategori» av personopplysninger i personopplysningsloven. Det er i utgangspunktet forbudt å bruke slike opplysninger uten gyldig samtykke. Dette gjelder også profilering og analyser knyttet til hva individuelle velgere sannsynligvis vil stemme. Dette betyr at informasjon må generaliseres og ikke rettes mot enkeltpersoner.
• Begrens innsamling og bruk av personopplysninger til det som er nødvendig for å nå formålet: Ikke samle inn flere opplysninger om gruppen som skal nås enn det som er nødvendig for å målrette budskapet.
• Vær obs på hva slags informasjon som samles inn ved for eksempel husbesøk eller ringeaksjoner: Det bør ikke registreres personopplysninger om velgere partiene har vært i kontakt med uten informert samtykke eller annet rettslig grunnlag. Digitale verktøy som brukes i forbindelse med husbesøk og ringeaksjoner, kan for eksempel ha fritekstfelt hvor valgkampmedarbeidere registrerer mer informasjon enn det er rettslig grunnlag for å behandle.
• Ha oversikt over hvilke opplysninger som samles inn på nettsidene: Rydd i hvilke informasjonskapsler (cookies) som er installert på nettsidene. Slett de som ikke er nødvendige. Informasjonskapsler som ikke brukes aktivt, kan likevel videresende informasjon om nettsidens brukere til for eksempel Facebook og Google.
• Ha kontroll på tredjeparter: Lag databehandleravtaler når tredjeparter behandler persondata på partienes vegne. Dette vil tydeliggjøre ansvarsforholdet når politiske partier kjøper tjenester fra eksterne leverandører.
• Personvernombud: Datatilsynet oppfordrer også partiene til å opprette personvernombud. Et ombud er en ressursperson som kan styrke partiets kompetanse om personvern og gi råd, både med tanke på valgkampen og all annen behandling av personopplysninger.

Hva skjer i Europa?

Det europeiske personvernrådet (European Data Protection Board) har også kommet med veiledning om målretting av budskap ved politiske valg. De mest relevante retningslinjene og uttalelsene om bruk av personopplysninger i politisk valgkamp er:

• Statement 2/2019 on the use of personal data in the course of political campaigns
• Guidelines 08/2020 on the targeting of social media users

Hovedbudskapet er at politiske partier må ha gyldig rettslig grunnlag for å målrette politisk reklame. De slår også fast at informasjon om en persons politiske ståsted i utgangspunktet er ulovlig å behandle, med mindre de kan vise til et unntak fra forbudet. Videre konstaterer rådet at det er høy risiko for at det blir behandle informasjon om en persons politiske ståsted hvis det benyttes digitale verktøy for å mikromålrette politiske budskap.

Stortinget innførte kriseloven i mars 2020. Formålet var at regjeringen raskt skulle kunne innføre tiltak for å håndtere konsekvensene av covid-19-utbruddet. Tiltakene som var omfattet av loven kunne bli innført uten vedtak i Stortinget, og gjerne med kort høringsfrist.

Men innføring av nye tiltak i ekspressfart reiser viktige spørsmål: Har konsekvensene av tiltakene blitt synliggjort? Og har viktige prinsipielle hensyn, som hensynet til personvern, blitt ivaretatt?

Selve kriseloven ble innført uten alminnelig høring. Datatilsynet kommenterte derfor ikke proposisjonen. Forslag til tiltak som var omfattet av kriseloven ble sendt ut med korte høringsfrister. Mens vanlig høringsfrister vanligvis er tre måneder, hadde mange av disse høringene frist på bare én uke. Mange organisasjoner fikk dermed ikke tid til å gi innspill til forslagene.

Nødvendig med godt beslutningsgrunnlag

Både i ordinære tider og i krisetider er det viktig at det foreligger et godt beslutningsgrunnlag når statlige tiltak skal innføres. Et svakt beslutningsgrunnlag kan føre til sløsing med ressurser og at viktige hensyn ikke blir ivaretatt.

En undersøkelse fra Direktoratet for Økonomistyring (DFØ) viser at beslutningsgrunnlaget ofte er dårlig når nye tiltak skal innføres. DFØ fremhever tidspress som én av utfordringene når tiltak skal utredes. Når kriseloven legger til rette for enda hurtigere innføring av regelverk, er det derfor grunn til å spørre om konsekvensene av nye tiltak blir tilstrekkelig utredet. Det må også settes spørsmålstegn ved om viktige prinsipielle hensyn, slik som personvern, blir vurdert.

Datatilsynet med flere kritiske tilbakemeldinger

Selv om tiltakene som ble foreslått på bakgrunn av kriseloven ble sendt ut med korte høringsfrister, ga Datatilsynet likevel utfyllende, og ofte kritiske, kommentarer til enkelte av forslagene:

• Forslag om midlertidige innreiserestriksjoner for utlendinger av hensyn til folkehelsen: I dette forslaget foreslo Justis- og beredskapsdepartementet innreiserestriksjoner for å begrense smittespredning. I Datatilsynets høringssvar viste vi til at departementet ikke hadde diskutert personvernkonsekvensene ved tiltaket.
• Forslag til endringer i boliglovene: Forslaget fra Kommunal- og moderniseringsdepartementet skulle blant annet gjøre boliglovene teknologinøytrale. Det ble også foreslått permanente lovendringer utover det som var nødvendig for å avhjelpe situasjonen som oppstod i løpet av pandemien. I Datatilsynets høringssvar fremhevet vi at et lovforslag med permanente endringer og med høringsfrist på én uke framstod som forhastet fra departementets side.
• Forskrift om tiltak for å effektivisere Navs saksbehandling: Arbeids- og sosialdepartementet sendte på høring et forslag om tiltak for å effektivisere Navs saksbehandling under pandemien. Tiltaket involverte bruk av personopplysninger til testing av IT-systemer, automatiserte avgjørelser og innhenting og lagring av inntektsopplysninger om alle borgere. I Datatilsynets svar kommenterte vi at forslaget om innhenting og lagring av inntektsopplysninger brøt med dataminimeringsprinsippet og at det ikke burde innføres.
• Forslag om tiltak angående billettering på ferger: Som tiltak for å forhindre smittespredning, foreslo Samferdselsdepartementet å fjerne manuell billettering på ferger. Det ble også foreslått at trafikanter skulle bli registrert med kjøretøyets kjennemerke. I Datatilsynets høringssvar  minte vi om plikten til å sørge for tilstrekkelig personopplysningssikkerhet og til å gi klar og tydelig informasjon til de reisende.
• Forslag til lov om informasjonstilgang mv. for Koronakommisjonen: Tiltaket skulle gi Koronakommisjonen tilgang til nødvendig informasjon for å evaluere myndighetenes håndtering av pandemien. I Datatilsynets svar fremhevet vi blant annet at departementet måtte ta stilling til hvordan personopplysninger som samles inn av kommisjonen vil bli behandlet når deres oppdrag er utført.
• Forslag til endringer i MSIS-forskriften: Tiltaket skulle tilrettelegge for lagring av covid-19-relaterte prøvesvar med personidentifiserende informasjon. I Datatilsynets svar fremhevet vi blant annet at retten til personvern må balanseres mot andre viktige hensyn, som for eksempel beredskap og folkehelse. 

Det er vanlig at det kommer kritikk i høringsrundene. Dette gir departementer og direktorater muligheten til å revurdere tiltak og løsninger før de innføres. I etterkant av høringsrunden valgte Nav å ikke innføre sitt mest kontroversielle tiltak: å innhente og lagre inntektsopplysninger fra folk som ikke hadde søkt om ytelser eller tjenester fra Nav.

Permanente løsninger på midlertidige problemer?

«Det er ofte ikke noe mer permanent enn det midlertidige», lyder et vanlig ordtak som det er verdt å ha i bakhodet i slike krisetider som vi nå opplever.

Det har vært utydelige tidsavgrensninger for mange av krisetiltakene som ble innført under pandemien. Det ble som nevnt over foreslått permanente endringer i boliglovene, selv om høringsrunden varte i bare én uke. I forslaget om å effektivisere Navs saksbehandling, skrev departementet at tiltaket skulle vare så lenge som Nav hadde «uvanlig høy saksinngang og saksbehandlingstid» på grunn av pandemien. I etterkant av kritikken mot denne utydeligheten, ble forskriften likevel gjort tidsbegrenset.

Tiltak som blir innført i krisetid uten å følge den vanlige demokratiske prosessen, bør ikke vare lenger enn strengt tatt nødvendig og de må ha en fastsatt utløpsdato. Hvis ikke risikerer vi en utglidning utover normaltilstanden, hvor tiltak som påvirker samfunnet ikke har solid demokratisk forankring. Dersom det er aktuelt å forlenge varigheten på tiltakene, bør de evalueres og være gjenstand for en ny formell prosess. Dette vil være en garanti for at viktige hensyn blir ivaretatt.

Koronaviruset rammet det norske arbeidslivet hardt. Antall arbeidsledige hos NAV økte fra 3,7 til over 10 prosent etter utbruddet av pandemien. Antall permitterte steg fra 5 000 i februar til 257 000 i mars. Fire av ti fikk hjemmekontor eller måtte studere hjemme.

I tillegg til økt bruk av hjemmekontor, ble smittereduserende tiltak innført overalt. Hånddesinfeksjonsmidler ble satt fram, og mange utførte risikovurderinger for å vurdere smittefare. Noen gikk også lengre. Sykehuset Østfold brukte varmekamera for å måle temperaturen til ansatte og andre som oppholdt seg på sykehuset. Varmekameraet registrerte om man hadde feber, slik at de kunne filtrere ut ansatte eller besøkende til en mer nøyaktig måling. Oljeselskapet Aker BP testet alle ansatte og kontraktører som reiste til plattformer i Nordsjøen og i Norskehavet.

Omfanget av kontrolltiltak som har blitt innført på norske arbeidsplasser under pandemien er foreløpig ukjent. Ifølge en internasjonal studie fra International Association of Privacy Professionals (IAPP) ser vi imidlertid en økning i flere land:

• 53 prosent av virksomheter har etterspurt informasjon om private reiser som ansatte har gjennomført.
• 35 prosent har spurt om helsestatusen til ansatte.
• 23 prosent har tatt temperaturen på ansatte for å finne smitte.

Det er god grunn til å tro at slike tiltak også har vært aktuelle på mange norske arbeidsplasser.

Tvungen helsekontroll av arbeidstakere kan medføre brudd av personvernregelverket. Personvernregelverket forhindrer likevel ikke nødvendigvis arbeidsgivere fra å gjøre hensiktsmessige tiltak for å holde ansatte trygge og friske under den pågående pandemien. Men hvis arbeidsgivere vil teste ansatte for sykdom eller symptomer av COVID-19, må flere forhold vurderes. I tillegg til å oppfylle vilkårene i arbeidsmiljøloven kapittel 9 (om kontrolltiltak i virksomheter), må de også ha et grunnlag for å behandle helseopplysninger etter kriteriene i personvernregelverket.

Sjefen ser deg på hjemmekontoret

Koronakrisen har også forsterket utviskingen av skillet mellom privatliv og arbeidsliv.

Med de ansatte på hjemmekontor i uker i strekk, har arbeidsgivere hatt behov for å finne nye alternative måter å følge opp de ansattes arbeid. I enkelte tilfeller på måter som utfordrer de ansattes personvern i eget hjem. 

Markedet for verktøy som overvåker ansattes digitale atferd er svært profitabelt og utbredt i mange land med svakere personvern- og arbeidsmiljølovgivning enn i Norge. Mange selskaper tilbyr verktøy som viser hva ansatte bruker skjermtiden på, hvor mye tid som brukes på å skrive på tastaturet eller bevege musen, og funksjoner som tar skjermopptak av hva som foregår på PC-skjermen.

Den amerikanske nyhetssiden VOX har vist at det under pandemien i USA har vært en kraftig økning av salg og bruk av sporingsverktøy som gir arbeidsgivere muligheten til å se hva som skjer på de ansattes skjermer. New York Times har også rapportert om den økte bruken av slike verktøy i USA for å kontrollere hjemmeværende ansatte i løpet av pandemien.

Overvåkingsmekanismer er også til stede i mange videokonferanseverktøy. Zoom tilbød for eksempel en funksjon hvor møteleder fikk vite om noen av deltagerne klikket seg vekk fra konferansevinduet i mer enn 30 sekunder. Denne funksjonen ble deaktivert etter en klagestorm mot selskapet.

Det er ikke klart hvor mange som bruker slike verktøy i Norge. Både personvernregelverket og arbeidsmiljøloven legger betydelige begrensninger på hvordan arbeidsgivere kan overvåke og spore sine ansatte. Datatilsynet har tidligere slått fast at skjermopptak av ansattes skjermer medfører brudd på regelverket. Den flate strukturen på mange norske arbeidsplasser bidrar sannsynligvis til motstand mot slike kontrollmidler i Norge. Likevel kan det godt tenkes at man vil se en mer utbredt bruk av disse verktøyene også her. Økt bruk av hjemmekontor vil skape et kontrollbehov for arbeidsgivere, og verktøyene for kontroll, overvåking og sporing er billigere og lettere tilgjengelige enn noen gang.

Truer hjemmekontor virksomhetenes informasjonssikkerhet?

Den plutselige økningen av arbeidstakere på hjemmekontor har også ført til et vell av spørsmål knyttet til informasjonssikkerhet.

Datatilsynet erfarer at førstelinjen i koronapandemien, som lærere og ansatte i helsetjenesten, har kjapt måtte sette seg inn i nye digitale verktøy for å utføre sitt arbeid. Dette inkluderer verktøy som Facebook Messenger, Zoom, Snapchat og Skype. Disse løsningene er enkle, men ikke nødvendigvis sikre. Interpol slo nylig alarm om den kraftige økningen i cyberangrep i forbindelse med pandemien. De fleste henvendelsene Datatilsynet har mottatt angående Covid-19, har å gjøre med informasjonssikkerhet. Det ble også en økning i varslede avvik til Datatilsynet som gjaldt hacking, malware og phishing. Dette reflekterer at risiko for brudd på informasjonssikkerheten øker i takt med hvor digitalisert vår arbeidshverdag er. Datatilsynet har lansert en veileder om phishing i etterkant av pandemiutbruddet.

Nordmenn er generelt negative til overvåking, men spesielt på arbeidsplassen

Datatilsynet har gjennomført flere undersøkelser som viser at folk er negative til overvåking på arbeidsplassen. I en nylig publisert befolkningsundersøkelse fant vi at seks av ti mellom 20 og 59 år er negative til overvåking der de utfører sine arbeidsoppgaver eller studerer. Like mange er negative til at overvåkningsanlegg på arbeidsplasser gjenkjenner og registrerer ansatte. En undersøkelse som forskningsinstituttet Fafo gjennomførte i 2019 viste at digitale systemer som går tett inn på den enkelte, med muligheter for direkte og detaljert kontroll og overvåking, oppleves som ubehagelig for mange ansatte. Det kan også være en skjult pris for å betale for overvåking av de ansatte. Undersøkelsen viser nemlig også at overvåkingstiltak på arbeidsplassen kan svekke tilliten til ledelsen.  

Vil økt bruk av kontrolltiltak bli den nye normalen?

Pandemien har midlertidig økt presset på arbeidstakeres privatliv og rett til personvern. Spørsmålet er om denne situasjonen vil vedvare, og om krisetilstanden under pandemien vil bane veien for mer inngripende kontroll av arbeidstakere generelt.

Det er lite som tilsier at mange av tiltakene for å kontrollere smittereduksjon i arbeidslivet vil og bør strekke seg utover krisesituasjonen.

Flere arbeidstakere på hjemmekontor er likevel en trend som vil vedvare uavhengig av pandemien. Hvilke kontrolltiltak som er akseptable må derfor være del av en større diskusjon om ansattes rettigheter, forventninger til arbeidsgivere, og grensedragning opp mot arbeidsmiljø- og personvernregelverket.