EU finpusser verdens første kunstig intelligens(KI)-lov, og en lekket versjon begynte å sirkulere på nett denne uken. Hvilke utfordringer vil reglene løse, og hvilke gjenstår?

Førsteamanuensis og Aftenposten-spaltist Inga Strümke skriver med rette at vi trenger EUs KI-forordning for å regulere KI. Samtidig er vi ikke helt enige i at reglene rydder opp i paragrafjungelen.

Forordningen samler ikke KI-regler på ett sted, men kommer i tillegg til andre lover som regulerer KI, slik som GDPR (personvernforordningen). Det er også mange KI-systemer som ikke er omfattet av forordningen.

Strümke har også rett i at Norge må jobbe godt med å få reglene inn i norsk rett. Utfordringen er å innføre reglene på en måte som tar ned kompleksiteten for virksomheter og samtidig ivaretar verdiene i samfunnet.

Forbud og samspill

Forordningen inneholder flere forbud og vil tilrettelegge for KI som vi kan stole på, og som ivaretar menneskerettigheter og demokrati. For eksempel forbys manipulativ KI som forårsaker vesentlig skade.

Imidlertid forbys ikke KI som bare fører til medium skade. Det skaper uklarhet og rom for omgåelse. Spørsmålet er da hvor effektive reglene vil være. Dette er et av mange eksempler på at forordningen må suppleres, helst av klare nasjonale regler. I det minste av etikk og fornuft.

Reglene oppstiller også plikter for høyrisiko-KI. Eksempler er KI som brukes til rekruttering eller avgjørelser om trygdeytelser. Det stilles krav til risikovurdering, gode treningsdata, testing, dokumentasjon og involvering av mennesker. Algoritmene må være nøyaktige og sikre nok.

Mange av pliktene overlapper med GDPR. Det er derfor både viktig og ressursbesparende å se de to lovene i sammenheng, av hensyn til gode helhetsvurderinger og for å unngå dobbeltarbeid.

De fleste av de nye pliktene gjelder tilbyderne. Samtidig reguleres hele verdikjeden, også de som skal bruke KI, som får en huskeliste: Følg bruksanvisningen, husk opplæring, bruk representative data og meld avvik.

Generativ KI

Forordningen vil også regulere KI-modeller som kan brukes til ulike formål, som generativ KI.

Tilbyderne må dokumentere modellenes evner og begrensninger, tenke opphavsrett samt publisere oversikt over treningsdata. De mest kompliserte modellene må ha risikoreduserende tiltak.

Det blir EU-kommisjonen som skal håndheve akkurat disse reglene.

Tilsyn

Hva gjelder tilsyn med de øvrige reglene, peker forordningen i ulike retninger: til datatilsynene for justissektoren og til finanstilsynene for finanssektoren. Ut over det må hvert land velge sin(e) tilsynsmyndighet(er).

Spørsmålet nå er om vi ønsker å legge mest mulig ett sted, eller om vi ønsker en sektorvis og fragmentert tilnærming.

Tilsynsmyndighetene skal imidlertid ikke bare sanksjonere, men også støtte ansvarlig innovasjon gjennom regulatoriske sandkasser, slik Datatilsynet tilbyr.

KI-forordningen løser ikke alt. Det er smutthull, mange former for KI er ikke omfattet, vi må unngå dobbeltarbeid, og vi må lage et godt system for tilsyn.

Hvordan vi løser dette, vil avgjøre om Norge lykkes med KI.

Idet jeg lander i Tel Aviv, får jeg en melding: Du bør ikke dra til Jerusalem i morgen, for det har vært et terrorangrep der. Jeg fikk også råd om å holde meg unna Tel Aviv sentrum lørdag kveld av hensyn til store demonstrasjoner. Starten på reisen kunne vært bedre.

Det er en turbulent tid i Israel – landet har hatt fem valg i løpet av de fire siste årene. Den nyeste regjeringen har blitt karakterisert som den mest høyrevridde i landets historie, hvor de religiøst-konservative partiene har fått stor makt. Et eksempel illustrerer poenget: Sikkerhetsministeren er kjent for å ha hengt opp et portrett av terroristen Baruch Goldstein i stua og for å ha sparket en transkvinne under en Pride-parade i 2008. Mange tror regjeringen vil gi ultraortodoks jødedom en større rolle i Israel, og den vurderer utvidelse av israelske bosettinger på Vestbredden.

Den nye regjeringen foreslår dessuten store juridiske reformer. Israel har ingen grunnlov, og derfor har domstolene tatt en rolle i å føre kontroll med at nye lover respekterer enkelte grunnleggende rettigheter. Dette har ikke falt i like god jord hos alle. Regjeringen ønsker nå større innflytelse over hvem som blir utnevnt som dommere, og den ønsker at det israelske parlamentet skal kunne overstyre domstolene ved alminnelig flertall. Med andre ord, selv om israelsk høyesterett skulle komme frem til at en ny lov strider mot grunnleggende rettigheter, kan 61 av de 120 folkevalgte i parlamentet likevel tvinge den gjennom.

Hva har dette med personopplysninger å gjøre?

Demokrati og personvern

Jeg dro til Israel for å snakke om såkalte adekvansbeslutninger. Litt forenklet er en adekvansbeslutninger en slags «godkjenning» av land som beskytter personopplysninger tilsvarende godt som Europa. Vi kan relativt fritt overføre personopplysninger fra EØS til land med adekvansbeslutninger, noe som gjør det mye lettere for virksomheter i disse landene å delta på det europeiske markedet.

Det er EU-kommisjonen som gir adekvansbeslutninger, etter innspill fra blant andre Personvernrådet (EDPB). For å få en adekvansbeslutning, er det mange ting som må på plass. Man må for eksempel ha gode personvernregler, myndighetenes inngrep i privatsfæren må være forholdsmessige, og man må ha tilgang til effektive og uavhengige rettsmidler dersom myndighetene går for langt. Mye av vurderingen handler altså om grunnleggende rettsstatsprinsipper.

Israel er blant landene som har en adekvansbeslutning. Spørsmålet nå er om de foreslåtte reformene vil innebære at adekvansbeslutningen må trekkes tilbake siden domstolenes uavhengighet er under press.

Penga styrer?

I Israel pågår det nå en diskusjon om hva som er mest demokratisk. Regjeringen peker på at det er mer demokratisk at de folkevalgte i parlamentet bestemmer enn at utpekte dommer gjør det. Opposisjonen fremholder at demokrati er mer enn flertallsstyre og at maktfordeling og menneskerettigheter er ufravikelige demokratiske grunnelementer.

Det er neppe tilfeldig at de største demonstrasjonene mot reformene finner sted i Tel Aviv. Dette er en moderne, tolerant og mangfoldig storby som skiller seg ut i regionen. En venn sa det slik: Israel har en befolkning på ni millioner, men «alle» homofile bor i Tel Aviv. Å gi det regjerende flertallet vide fullmakter kan være dårlig nytt for de moderate og sekulære, for kvinner, skeive og palestinere.

Demonstrantene har imidlertid én ting på sine side: Økonomien.

Dersom reformene går gjennom, og dersom regjeringen fortsetter sin harde linje på Vestbredden, kan det føre til at Israels kredittrating nedvurderes. Dette kan igjen påvirke israelsk økonomi negativt. Det vakte dessuten oppsikt når gründeren av en israelsk tech-enhjørning varslet at hun vil flytte firmaets midler fra landet som svar på reformene. Teknologisektoren er en viktig del av Israels økonomi.

Et eventuelt bortfall av landets adekvansbeslutning vil det neppe gjøre israelsk økonomi noen tjenester, det heller.

(Dette innlegget er skrevet av Inger Lise Blyverket, direktør i Forbrukerrådet, Ingrid Westgaard Stolpestad, politisk rådgiver i Amnesty International Norge, og meg. Det ble først publisert på digi.no 16. august 2022.)

Det er ikke tilfeldig hvilke innlegg som troner øverst i Instagram- eller TikTok-feeden din. Tjenestene lever av engasjement, og de prøver å gjette hva som gjør deg mest hekta. For oss som skriver dette innlegget, kan det være alt fra menneskerettigheter til kattevideoer som engasjerer mest. For tenåringsjenter kan det være usunne innlegg om magert kosthold og slanke kropper. For enkelte grupper er det krenkende påstander om minoriteter som troner høyest.

I en stadig mer ustabil verden har vi sett at plattformene kan styrke eller undergrave demokratier. De kan redusere spredningen av fake news, men selvsagt ikke så mye at det gjør at folk slutter å bruke tid på plattformen. Samtidig vil algoritmene fjerne informasjon de tror ikke passer seg, for eksempel et bilde av en naken jente brent av napalm eller Facebook-siden til Holocaustsenteret.

Det hele drives av personopplysninger om forbrukerne, og de som har mest data, har også størst mulighet til å nyttiggjøre seg data. Det er én av grunnene til at tekgigantene har vokst seg så store og mektige, og det er årsaken til at vi støvsuges for data så snart vi åpner nettleseren.

Når uønskede praksiser oppstår i demokratiske samfunn, har vi enhver mulighet til å endre dem. Akkurat på dette feltet virker det imidlertid som mange norske politikere har resignert. Mange er ikke interessert i å snakke om temaet, og hvis de først gjør det, er det gjerne for å uttrykke at det ikke er så mye vi kan gjøre. Dette er noe vi ønsker å sette fokus på i Arendalsuka 2022.

Vi synes det er paradoksalt at norske myndigheter kan gi lover om politisk markedsføring på TV, men ikke på sosiale medier. Ingen har svar på hvorfor norske myndigheter bruker tekgigantenes sporingsverktøy på nettsidene sine i stedet for å bruke innkjøpsmakten sin til å støtte personvernvennlig innovasjon.

Mange norske politikere peker på at EU må løse problemet, men uten nødvendigvis å involvere seg nevneverdig i lovgivningsprosessen der. Det gjør derimot tekgigantenes lobbyister, som skjønner at fremtidens lovgivning på dette feltet er vel verdt å investere tid og penger i.

Vi mener det er på tide med en større debatt på politisk nivå om hvordan vi vil at det digitale samfunnet skal se ut og hvilke forventninger vi vil stille til de digitale markedene i Norge. Det stemmer ikke at vi ikke har handlingsrom til å gjøre noe. Det er utvilsomt vanskelige dilemmaer som må løses, men de løser vi gjennom diskusjon, ikke stillhet.

På Arendalsuka har vi invitert en rekke sentrale aktører til å diskutere dette temaet, fra næringsminister Vestre og partileder Melby til Google og IKT-Norge. Vi stiller følgende spørsmål: Kan teknologigantene tøyles? Hvis svaret er ja, er det på tide at vi begynner. Hvis svaret derimot er nei, betyr det at folkevalgte myndigheter er i ferd med å gi fra seg makten.

(Arendalsuka har for øvrig lagt ut opptak av arrangementet vårt her (youtube.com).)

(Denne kommentaren sto på trykk i april-utgaven av Computerworld.)

Data er makt, og noen har mer data enn andre. Med data kan man innovere og lage nyttige tjenester. Man kan også bruke data til å dominere konkurrenter og manipulere brukere. Det ene utelukker ikke det andre.

Tekgigantenes datadrevne, monopolliknende makt er skadelig for konkurranse, forbrukervern og personvern. Derfor har EU nå landet Digital Markets Act (DMA), en ny lov med plikter og begrensninger for de aller største internettplattformene. Loven skal forhindre skadelig, monopolistisk adferd før den skjer, der dagens regelverk i større grad griper inn når skaden først har skjedd.

Dessverre gjenstår mange problemer, og spørsmålet er om noen vil adressere dem.

God start

I oppmerksomhetsøkonomien handler det om å holde brukerne på plattformen sin lengst mulig. Da kan man nemlig samle inn mer personopplysninger for å gjøre plattformen mer engasjerende, slik at man får enda mer oppmerksomhet. Slik blir også den adferdsbaserte markedsføringen på plattformen mest mulig treffende og lukrativ.

Hva hvis det som engasjerer mest er polariserende eller voldelig innhold? Hva hvis politiske annonser utnytter svakheter hos mottakerne for å påvirke dem? Hva hvis utsatte grupper utelukkes fra informasjon? Dette er reelle utfordringer vi står ovenfor i dag. Personvern er ikke bare en individuell rettighet. Det er også en forutsetning for demokratiet.

Det spennende at DMA innebærer begrensninger for hvordan de aller største plattformene kan kombinere data fra ulike tjenester. Mange av oss tilbringer store deler av livet innenfor eksempelvis Meta eller Googles universer, og de kan til og med spore oss når vi bruker andre nettsider og apper. De kombinerte datasettene sier mye om livene våre.

Det kan imidlertid enkeltstående datasett også gjøre. Dessuten er det mange flere enn tekgigantene som vanner sine pengeplanter.

Trynefaktor?

Spørsmålet vi må stille oss, er om forretningsmodeller tuftet på overvåking er bærekraftige.

Mange steder på internett foregår det annonseauksjoner som avgjør hvilke budskap vi ser. I disse auksjonene er mange mindre aktører involvert, og de utveksler ofte personopplysninger i prosessen. Datasett kan kjøpes.

Med andre ord er det ikke bare tekgigantene som grafser til seg personopplysningene våre, som er en uatskillelig del av oss, for å potensielt bruke dem mot oss. Det er ikke bare big tech som gjør oss sårbare for manipulasjon og diskriminering.

Folk spør om man bør unngå russiske og kinesiske apper i fall myndighetene deres overvåker oss. Et større problem er at myndighetene kan få tilgang til de samme dataene på det åpne markedet. Sikkerhetsrisikoen er brennaktuell.

Derfor blir det feil å bare regulere noen aktører. Det blir feil å regulere enkelthandlinger når forretningsmodellene er problemet.

Et tu, Norvegia?

Her hjemme har man så vidt begynt å diskutere hvorvidt problemene bør reguleres. Mange sitter imidlertid på gjerdet. Noen har tatt til orde for at vi bare trenger vern av mindreårige.

Du får meg ikke til å tro at Ola (17) er mer sårbar på nett enn Olga (71).

Norge som verdibasert og digitalisert demokrati har en unik mulighet til å ta en aktiv posisjon i diskusjonene fremover. I det minste må vi løfte debatten her hjemme, og vi må utrede alternativer.

Å sitte inne mens hagen gror igjen av sitkagran er også et valg.

Ståle Lindblad sparker i alle retninger i innlegget sitt mot Datatilsynet og Facebook-rapporten vi publiserte. Ikke bare er han uenig i de faglige vurderingene våre og konklusjonen vi kommer frem til som behandlingsansvarlig. Han mener også at rapporten avdekker «fullstendig mangel på kompetanse» hos landets personvernmyndighet, og at rapporten er verdiløs.

Vi mottar gjerne innspill om hvordan vi kan forbedre oss. Anklagene hans om at vi lider av fullstendig kompetansemangel fremstår imidlertid som useriøse, uprofesjonelle og ikke minst uholdbare. Når anklagene er så svakt faglig forankret som de er, er det vanskelig å la dem bli stående helt uimotsagt.

EU-dommer viser felles behandlingsansvar

Lindblad foretar ingen grundig analyse av dommene, og han trekker heller ikke inn andre rettskilder. Vi mener han har utelatt sentrale deler av dommene fra innlegget sitt.

EU-domstolen har sagt at man har felles behandlingsansvar for behandling av personopplysninger om brukere av en Facebook-side. Videre peker domstolen på at denne behandlingen innebærer at opplysningene om sidens følgere og besøkende brukes til å forbedre Facebooks markedsføringssystem. Vi vet ikke med tilstrekkelig detalj hvordan dette skjer eller hva det innebærer, og vi synes ikke at vi kan underslå denne uvissheten. Dette er bakgrunnen for vurderingene vi har gjort som behandlingsansvarlig.

Vurdering og dokumentasjon

Lindblad sier at vi mener og synser uten dokumentasjon. Slik er det ikke. Vi har gjort en grundig vurdering der vi har innhentet informasjon, beskrevet verktøyet systematisk og vurdert dette opp mot kravene i loven. Det er ingen tvil om at vi, gjennom DPIA-en vår, har dokumentert at vi faktisk ikke vet nok om hva som skjer med dataene til Facebook-brukere.

Uansett er det ironisk at Lindblad prøver å kontrastere «enkle» Facebook med kunstig intelligens, når vi vet at selskapet bruker kunstig intelligens i utstrakt grad, og har de kraftigste algoritmene i verden med størst CPU.

Vi vet at mange virksomheter legger mye jobb i egne risikovurderinger. Den etterfølgende debatten åpner for en rekke spørsmål og dilemmaer om teknologi, jus, etikk og samfunn. Antallet perspektiver man kan «forstå» Meta på, fra behandling av data til demokrati, sosiale relasjoner eller mental helse, er mange. Vi ser generelt at personvernperspektivet og ansvaret den enkelte virksomhet har, nå kommer tydeligere fram. Det er bra, og vi imøteser alltid en saklig debatt.

Mr Chair, Members of the LIBE Committee, thank you for the invitation and for the opportunity to share our experiences.

Looking back on the last four years, I believe that we as Data Protection Authorities have come a long way. Adapting to the GDPR has been a learning process for everyone, ourselves included. It appears that more and more enforcement action is being carried out across Europe, and the level of maturity amongst data controllers is ever increasing.

However, the previous four years have also shown that there are enforcement challenges, and these need to be discussed candidly.

Data Protection Authorities lacking sufficient resources is a particularly significant hurdle, and this makes sensible prioritisation difficult. At the Norwegian Data Protection Authority, we aim to focus our efforts towards big, impactful cases. However, we are also mindful of our duty to handle all of the complaints we receive with all due diligence and within a reasonable time. With the current resource situation, we find that it is difficult to achieve both of these goals simultaneously. We constantly work on finding a fair balance between the two that will provide effective protection and vindication of data subjects’ fundamental rights. 

Lack of resources also manifests itself in the One-Stop Shop mechanism, where Data Protection Authorities depend on each other to handle cases. If just one Data Protection Authority lacks resources, it can quickly have EU-wide consequences. It should also be noted that the EDPB Secretariat offers invaluable support to Data Protection Authorities, and so their resource situation is essential as well.

Fragmentation of enforcement competence is another issue. For example, in Norway, we in the Data Protection Authority are not competent to enforce the ePrivacy rules. This prevents us from approaching data protection issues in a holistic manner, while data subjects and data controllers may need to correspond with two or even three Norwegian authorities in order to resolve an issue. We are concerned that the upcoming AI Act may lead to further fragmentation if Data Protection Authorities are not designated as the national supervisory authorities under that framework. We hope that this will be contemplated by the legislators.

Another point is that national enforcement cannot be carried out in isolation. At the national level, we see many data controllers that exceed industry standards and that invest in innovations leading to a higher level of data protection. However, these controllers struggle to compete with big, international technology companies that base their business models on intrusive tracking and profiling practices. The big tech companies generally have their main establishment in another EEA Member State, meaning that another Data Protection Authority than ourselves is the lead supervisory authority. Enforcing the GDPR strictly against the national controllers without being able to hold the big technology companies to the same standard, will effectively deter any attempt at data protection friendly innovation.

Of course, this brings us to the interplay between national enforcement and the One-Stop-Shop mechanism. While I do not want to pre-empt the next panel which is dedicated to that topic, it is difficult to avoid saying a few words about how this mechanism works in practice from the perspective of a Data Protection Authority due to its impact on our national enforcement.

In our experience, as many of the practical issues of the One-Stop-Shop mechanism have gradually been resolved, it now works very well for the majority of cases. It is a good tool for sharing our views and assisting each other, and new final decisions are issued regularly.

However, we believe that the One-Stop-Shop may not always work well for those cases where all, or almost all, Data Protection Authorities across the EEA are concerned supervisory authorities. The biggest controllers tend to flock to the same jurisdictions, meaning that just a handful of Data Protection Authorities are responsible for all the biggest cases. Consequently, the enforcement burden is very unevenly shared, which we believe is unfair and unfeasible given the varying resource restraints faced by Data Protection Authorities.

More worrisome, for cross-border cases with effects across Europe, the extent of enforcement will hinge on how a lead supervisory authority uses its discretionary power to scope its own investigations. Furthermore, the national procedural rules in the jurisdiction of the lead supervisory authority will determine how smoothly and timely an EU-wide case is resolved. We are cognisant that both of these factors have caused concern in the data protection community.

Therefore, we would argue that for cross-border cases concerning, let’s say, two thirds or more of the EEA Member States, there may be scope to explore if other enforcement models would be more fit for purpose, for example models entailing more rotation and burden sharing, or entrusting a more direct enforcement role to the EDPB in some cases. In this regard, we have noted that a number of the biggest cases end up going to the EDPB for dispute resolution under Article 65 anyway, and that the EDPB successfully resolves these cases effectively within the applicable legal deadlines. Additionally, as a matter of EEA law, the EDPB has the advantage that its legal authority encompasses the three EEA EFTA States Norway, Iceland and Liechtenstein. A more active role for the EDPB may therefore be a feasible alternative.

In sum: Resources, fragmentation of enforcement competence, and the functioning of the One-Stop Shop mechanism for EU-wide cases pose the greatest challenges for effective enforcement. Fortunately, these are issues to which solutions can be found.

Thank you for your attention.

(Dette innlegget ble publisert på DN.no 21. februar 2022.)

Tre jurister i Wiersholm skriver om at Google Analytics er i tilsynsmyndighetenes søkelys. De oppfordrer virksomheter til å se bort fra tilsynsmyndigheters avgjørelser – uten å nevne hva man risikerer ved å stikke hodet i sanden.

Med den største selvfølgelighet fremsetter innleggsforfatterne at Datatilsynets avgjørelser ofte vil ha en slagside. Dette begrunner de med at tilsynet har en ombudsrolle for personvern, uten at de forklarer hva de legger i dette. Derfor er det visst lurt å vente med å innrette seg etter våre vedtak til de har blitt prøvd i domstolene.

Mon tro om ikke nettopp Advokatfirmaet Wiersholm kan bistå hvis du vil prøve et vedtak i retten?

Det er fint at et advokatfirma som skal tiltrekke seg og blidgjøre klienter, vil snakke om ensidighet. Det er også fint å feie for egen dør.

Tilsynsmyndighet, ikke personvernombud

Datatilsynets oppgaver og myndighet er listet opp i GDPR. At vi skal være et «ombud» er ikke nevnt.

GDPR sier imidlertid at vi skal fremme kjennskap til risikoer ved behandling av personopplysninger. EU-lovgiverne bestemte at dette er en oppgave som skal inngå i porteføljen vår. Hadde vi vært en bedre tilsynsmyndighet hvis vi lot være å identifisere slike risikoer? Det ville i alle fall gjort livet lettere for Wiersholms klienter dersom Datatilsynet sluttet å stille kritiske spørsmål.

Vi lurer også på om Wiersholm synes at andre myndigheter i Norge bør slutte å løfte problemstillinger innen eget fagfelt, eller om dette bare gjelder Datatilsynet.

Ensidig

Det følger av GDPR at Datatilsynet er uavhengig. Det betyr at vi baserer oss på loven, ikke ønskene til en part. Her skiller vi oss fra Wiersholm.

Det er lett å få med seg de prinsipielle sakene der vi fatter vedtak i enkeltpersonenes favør. Mindre synlig er nok alle de vedtakene der vi gir virksomheten medhold. Vi blir rutinemessig hakket på av både klagere og innklagede.

Mest påfallende er det imidlertid at Datatilsynet består av medarbeidere rekruttert fra både privat og offentlig sektor, herunder fra Wiersholm. Hvis vi har en slagside, hvorfor har folk fra Wiersholm så villig bidratt til denne?

Reklame uten pris

Vi har ikke konkludert om Google Analytics ennå. Vi har imidlertid sagt at det er lurt å se seg om etter alternativer, slik at man stiller forberedt. Hvis vi kommer frem til at Google Analytics ikke kan brukes, må vi håndheve dette likt ovenfor alle. Siden alle kan se om et nettsted bruker verktøyet, er det lett å klage til oss.

Dersom vi ser at nettsteder ignorerer konklusjonene våre, må vi vurdere overtredelsesgebyr.

I en rettsstat har man rett til å gå til domstolene hvis man mener at en tilsynsmyndighet har fattet et ugyldig vedtak. Samtidig vil en god advokat passe på å informere om prosessrisiko og kostnader, slik at klienten kan ta et informert valg.

Derfor bør Wiersholms oppfordring nyanseres.

Når strutser møter utfordringer, stikker de hodet i sanden eller sparker. Det kan forklare Wiersholms sleivspark.

Les innlegget på DN.no.

Personopplysninger har en stor økonomisk verdi, og det er nettopp slik Google og Facebook har vokst seg til å bli blant verdens største selskaper. Det finnes også tusenvis av små og ukjente selskaper som også tjener store penger på salg av personopplysninger. I praksis lønner det seg derfor å utfordre grensene for personvernet. Vi opplever at det er selskapene som opererer i de juridiske gråsonene – eller til og med bryter loven – som tjener mest penger.

Vi har allerede et godt personvernregelverk, GDPR. Problemet er at mange av selskapene det er snakk om har hovedsete utenfor Norge. Dette begrenser Datatilsynets mulighet til å håndheve reglene. Dessuten er reglene i GDPR veldig generelle og vagt formulert. Det betyr at det er rom for ulike tolkninger, og mange feiltolker nok reglene med vilje. I andre land ser vi at store personvernsaker ender opp med å gå frem og tilbake i domstolene i mange år nettopp på grunn av dette.

Det er de største, amerikanske virksomhetene som tjener på dette systemet fordi de sitter på mest data. Data gir makt i annonsemarkedet, og Facebook og Google opptrer nærmest som monopolister. Norske virksomheter som driver med markedsføring blir dermed avhengig av teknologigantene, og de tvinges til å akseptere forretningsmodeller og praksiser som de ikke ønsker. Dette vet vi både fra uavhengige undersøkelser samt tilbakemeldinger vi får som tilsynsmyndighet. Beskjeden fra norske virksomheter er at dagens system er konkurransehemmende, og at deres personvernvennlige innovasjon ikke klarer å konkurrere med overvåkingsbasert markedsføring.

I EU pågår det en diskusjon om hvordan man kan regulere dette økosystemet. Lovforslagene Digital Services Act og Digital Markets Act handler nettopp om hvordan vi kan fikse de digitale markedene som i dag ikke fungerer. Disse lovforslagene er nå til trilog-forhandling mellom EU-kommisjonen, EU-parlamentet og Rådet.

Flere har tatt til orde for at disse lovene trenger klare forbudsregler for å stoppe overvåkingsbasert markedsføring. Så langt har ikke dette forslaget vunnet gjennom i sin rene form. EU-parlamentet har imidlertid tatt til orde for forbud mot overvåkingsbasert markedsføring ovenfor barn samt forbud mot markedsføring basert på sensitive personopplysninger. Dette kan være små skritt i riktig retning, samtidig som vi dessverre ser at det ikke løser utfordringene vi har identifisert.

Dessuten møter selv disse forslagene motbør. Det er mange som sitter på gjerdet, og det er også intensiv lobbing fra de amerikanske selskapene som har alt å tjene på dagens system. Derfor er det usikkert i hvor stor grad reglene vil sette reelle begrensninger, samt hvem begrensningene vil gjelde.

I verste fall får vi et lovverk som bare pålegger nye informasjonserklæringer – som om vi ikke hadde nok av dem fra før. Akkurat nå er det derfor viktig å påvirke for å gjøre regelverket så godt som mulig og støtte forslagene som søker å beskytte internett-brukeres rettigheter, samt utfordre EU-lovgiverne til å tenke enda bredere og mer langsiktig og gå inn for et forbud mot overvåkingsbasert markedsføring.

Vi tror at hvis Norge melder seg på lovgivningsprosessen i EU og tar til orde for strengere regulering, kan det faktisk utgjøre en forskjell. Vi tenker at det er særlig viktig å jobbe for et forbud mot overvåkingsbasert markedsføring i Digital Services Act, fordi dette lovforslaget vil gjelde flere av aktørene med problematiske forretningspraksiser. Det er naturlig at Norge går foran for et ansvarlig næringsliv som respekterer menneskerettighetene og som er bærekraftig på sikt.

Perspektivene på hva personvern er og bør være, varierer. Fersk praksis illustrerer at det kanskje er mer enn skattereglene som lokker teknologigantene til Irland.

I EØS har vi strenge personvernregler i form av GDPR. Prinsippene om lovlighet, rettferdighet, formålsspesifikasjon og dataminimering setter skranker for bruk av personopplysninger. Det går en grense man ikke kan krysse uten å trå andres privatliv, integritet og verdighet for nære.

Mange store teknologiselskaper praktiserer reglene mer som en tam papirtiger. Endeløse personvernerklæringer og pågående popup-bokser som presser deg til å klikke bort alle rettigheter blir brukt til å legitimere inngripende kommersiell overvåking.

Er GDPR bare en anvisning på prosedyrer man må gjennom, og så kan man ellers gjøre som man vil?

Den som venter

Mange av de største tekselskapene har valgt lavskattlandet Irland som åsted for sin hovedetablering. Derfor er det opp til den irske datatilsynsmyndigheten å føre tilsyn med dem etter GDPR – men det tar tid.

Irene peker med rette på ressursmangel samt en komplisert og tidkrevende forvaltningsrett som inviterer til søksmål. Ser man litt nærmere på fersk praksis, tegner det seg kanskje også et bilde av et tilsyn som forfekter et mer prosessuelt personvernsyn.

I 2020 ble Twitter ilagt overtredelsesgebyr på grunn av formelle feil i avviksbehandlingen sin, selv om mange var mer interesserte i de bakenforliggende årsakene til avviket. I 2021 fikk WhatsApp gebyr for mangler i personvernerklæringen, mens enkelte andre spurte seg om det ikke var større problemer ved selskapets praksis. Dette er de eneste to irske bøtesakene mot tekgiganter så langt.

Nå behandler den irske tilsynsmyndigheten en klage på Facebook-plattformens sporing og profilering av brukere for markedsføringsformål. Irenes utkast til avgjørelse sier sporingen er OK fordi den er inntatt i tjenestevilkårene. Derimot mener de at informasjonen i personvernerklæringen må forbedres. Saken vil trolig løftes til Det europeiske personvernrådet i 2022, og en parallell sak er dessuten under oppseiling for EU-domstolen.

Ment å begrense

I personvernmiljøet er og bør det være høy takhøyde for å være uenig. Samtidig er det viktig å tolke reglene i tråd med deres ordlyd, formål og sammenheng. Det er vanskelig å argumentere for at personvernreglene ikke har ment å begrense behandling av personopplysninger til de tilfellene der det faktisk er forholdsmessig. Det betyr at formalia ikke kan være avgjørende.

Mange av artiklene i GDPR er risikobaserte nettopp fordi at risiko henger sammen med forholdsmessighet. Samtidig er det mange av artiklene som ikke er risikobaserte. Dersom GDPR kan se ut til å stagge kommersiell markedsføring, tar det sjeldent lang tid før en tenketank eller et kommentarfelt på LinkedIn etterspør en ulovfestet risikobasert tilnærming også her – selvsagt uten å ta inn over seg at risikoen for manipulasjon, ekskludering og undergraving av vår verdighet er betydelig.

Gjennomsiktig trojansk hest

Det er viktig å være åpen om hvordan man behandler personopplysninger. Samtidig kan åpenhet være et utspekulert verktøy. Det er mange som ønsker å flytte fokus fra manglende lovlighet til gode informasjonstiltak.

Dessuten er den enkeltes «rimelige forventninger» et sentralt spørsmål i personvernretten. Hva skal man med rimelighet måtte forvente når man bruker en nettbutikk, en bank eller et sosialt medium? Flere har tenkt at forventningene kan senkes gjennom personvernerklæringene som de færreste leser. Hvis erklæringen vagt nevner overvåking for markedsføring, må jo folk forvente at det skjer?

Sagt på en annen måte: Dersom noen informerer meg om at de vil stå utenfor vinduet ditt med kikkert, gjør det situasjonen bedre?

Vi kan hvis vi vil

Mange har uttrykt frustrasjon over manglende håndheving av GDPR ovenfor tekgigantene. Årsakene er sammensatte.

Samtidig er det langt på vei et politisk spørsmål om hvor gode rettigheter man ønsker for nettbrukere. Mange datatilsynsmyndigheter i Europa skriker etter mer ressurser, inkludert den irske. Har da myndighetene i Europa genuin vilje til å begrense tekgigantene?

I Datatilsynet mener vi at dagens regulering er god, samtidig som den er tidkrevende å håndheve og vag nok til å misbrukes. Derfor mener vi at vi trenger ytterligere regulering, særlig når det kommer til overvåkingsbasert markedsføring. Vi trenger et godt materielt vern og som lar informasjonserklæringer, avtalevilkår og popup-bokser ligge hjemme.

Les innlegget på Rett24.no.

En rekordstor GDPR-bot fra Luxembourg illustrerer dilemmaet: Trår man feil, kan behandling av personopplysninger gi muligheter på kort sikt og utfordringer på lang sikt. Her er noen råd på veien.

Stemningen var neppe god hos Amazons advokater da de mottok det luxembourgske datatilsynets seneste avgjørelse – også rett før sommerferien, da! Tilsynsmyndigheten mener at Amazons bruk av personopplysninger i markedsføring strider mot Europas personvernregler, GDPR, og at et overtredelsesgebyr stort 746 millioner euro er en passende straff.

Som Vanebo påpeker, har det luxembourgske datatilsynet taushetsplikt om Amazon-saken frem til den er avgjort i rettssystemet. Siden Datatilsynet i Norge er part i saken som berørt tilsynsmyndighet, er vi også tilbakeholdne med å kommentere. Vi kan imidlertid si dette: Hvis Amazon hadde fulgt rådene nedenfor, hadde nok ting gått annerledes. Selv i en tid hvor datatilsynsmyndighetene skjerper håndhevingen, finnes det grep man kan ta for å unngå å havne i tilsynsmyndighetenes søkelys.

Fornøyde forbrukere får velge

Mange GDPR-klager gjelder manglende valgfrihet. Ikke sjeldent definerer virksomheter hva kundene ønsker at personopplysningene deres skal brukes til – uten å spørre kundene, og gjerne i strid med empiri. For eksempel har flere virksomheter sagt at kundene ønsker målrettet markedsføring, selv om Datatilsynets siste personvernundersøkelse viser det stikk motsatte.

Noen ganger gir virksomhetene valgfrihet på papiret, men gjemmer valgene såpass godt at de fleste gir opp underveis. For hvert ekstra klikk man må gjennom for å si nei, desto mindre frivillig er valget.

Én ting er at slike praksiser kan medføre smekk på fingrene fra tilsynsmyndighetene. En annen ting er at det frustrerer eksisterende kunder og skremmer bort nye. Personvernundersøkelsen vår viste for eksempel at halvparten av oss har unngått å gjennomføre et kjøp i en nettbutikk fordi vi ikke stoler på hvordan nettbutikken behandler personopplysningene våre. Dette er et godt eksempel på samspillet mellom personvern og god forretning.

De gode forventningene

Et annet og beslektet element, som stadig oftere legges vekt på i europeisk tilsynspraksis, er kundenes berettigede forventninger til behandling av personopplysninger. For eksempel vil kunder ofte forvente – og forutsette – at opplysninger de legger igjen hos en virksomhet de stoler på, ikke deles fritt med utenforstående. Og nei, her kan man ikke gjemme seg bak kryptiske formuleringer om datadeling i lange personvernerklæringer som de aller fleste ikke leser.

På et mer overordnet nivå kan vi si at kunder som legger igjen data hos en virksomhet, forventer at dataene ikke skal brukes mot deres interesser. De færreste har interesse av å miste kontrollen over egne personopplysninger eller at personopplysningene skal brukes til å prakke på en ting man ikke vil ha. Dessverre er det ofte nettopp dette som skjer – og det er derfor Datatilsynet mottar klager.

Bærekraftig datainnovasjon

Løsningen er neppe å slutte å bruke data – og det finnes tross alt mange tilfeller der vi forventer og har glede av at personopplysningene våre behandles. Spørsmålet er i stedet hvordan vi kan bruke data riktig. Data bør jobbe for kundene, ikke imot – og det bør i størst mulig grad være opp til kundene å bestemme hva de vil. Fornøyde kunder blir værende, og de klager ikke til tilsynsmyndighetene.

Dette er åpenbart lettere sagt enn gjort. Samtidig kan man nok si at virksomheter som innoverer databruken i denne retningen, har det lengste tidsperspektivet. Vi vet ikke hva fremtiden bringer, men vi vet at bærekraftig databruk har de beste forutsetningene for å møte den.

Les innlegget på digi.no