Vi har alle sett den vennegjengen som går sammen, men med nesa ned i hver sin mobil. Eller de gjestene på den festen som følger med på siste oppdatering fra verden der ute heller enn å snakke med sidemannen.  Eller den kollegaen på møtet som taster som gal fremfor å vie sin fulle oppmerksomhet til det som blir sagt. Selv er jeg dessverre også ofte en av disse. Samtaleemnet blir det du ser på sosiale medier, hva noen har sagt,  gjort, ment eller følt. Men hvor er vi da, i et eller annet ekkokammer? Jeg, enheten, «dingsen» og teknologiselskapet – vi deler tiden sammen uansett hvor jeg går og er.

Én definisjon av digitalisering er introduksjonen av (ny) teknologi som skaper en forandring samfunnet.

Et oppgjør innenfra

For 5-6 år siden sluttet en rekke utviklere i Google og Facebook. De ønsket ta et oppgjør med det de selv har skapt (nrk.no). Google og Facebook har verdens største superdatamaskiner som, med god hjelp av deres algoritmer, er rettet mot og designet for å påvirke folks hjerner, ikke minst mot barn. I denne sammenheng kan vi snakke om «nevroteknologi», eller  om avhengighetsskapende teknologi. Her er en liste over hvordan de hadde kodet algoritmen for å påvirke oss:

• Vinne kappløp om å klare beholde oppmerksomheten vår 24/7 på skjerm og gjøre det vanskelig å logge av (medium.com). Forskning knytter dette til økt stress, angst, og mindre søvn.
• Trene barn i å erstatte egenverd med likes, oppmuntre dem til å sammenligne seg med andre, og skape en illusjon av å være utenfor/innenfor.
• Intensjon om å foretrekke virtuelle interaksjoner og belønninger på skjerm fremfor møter ansikt-til-ansikt.
• Belønne utagering og falske fakta, slik at vi ikke lenger riktig klarer å skille hva som er sant eller ei
• En følelse av å være en del av noe større (linkedin.com).

Vi ser at dette gjør noe med vår mentale helse, med våre barn, vårt sosiale fellesskap og vårt demokratiet (medium.com). Og vi ser at algoritmene har oppnådd formålet.

Vi vet at de store techselskapene samler inn personopplysninger om oss, hva vi mener, føler tenker, liker, kjøper, hvor vi går, og mye til.. Dernest sorterer de oss i kategorier, såkalt profilerering. De bruker det de har samlet inn til å fortelle oss hvem vi er, hva vi skal mene, hva vi skal tro, føle, stemme på, kjøpe osv.

Deres mål er å tjene penger, og de pengene tjener de på oss. Vi går fra å være subjekter i eget liv til å være objekter. Techselskapene profitterer, og sitter igjen med stor makt.

Et spørsmål om verdier

Menneskeheten har i alle år solgt og kjøpt til høyest mulig pris, det er ikke nytt. Det nye er at inntjening og salg styres direkte via digitale kanaler og med skjulte mekanismer – med større kraft og på en måte som vi enkeltpersoner ikke klarer å følge med på. Og kanskje er deres definisjon av politikk bygget på Paul Valérys (1871-1945) definisjon : «Politikk er kunsten å hindre folk i å blande seg opp i det som angår dem».

Min definisjon av politikk er noe slik: «felles vedtatte retningslinjer og føringer for hvordan vi ønsker styre samfunnet vårt og virkemidler for å sette dett ut i live». Retningslinjene for samfunnet skal hegne om våre felles verdier, verdier som vi nordmenn setter høyt.

Åpenhet om faktiske forhold er en slik verdi. Personvern er en annen verdi som folk flest setter høyt. Og kanskje er disse grunnverdiene årsaken til at vi nordmenn har så høy tillit til våre myndigheter.

Ny teknologi og digitalisering av tjenester kan skape et mer effektivt samfunn og gi oss et enklere liv. Det kan dessuten avdekke kriminalitet og løse helseutfordringer. Men samtidig har vi lover, og disse lovene må følges også i vårt digitale samfunn. Vi skal styre teknologien i riktig retning, det er ikke teknologien som skal styre oss. Våre politikere må også være politikere i vårt digitale samfunn.

Vi trenger en personvernpolitikk

En personvernpolitikk må gi overordnede føringer på en måte som gjør at du og jeg kan være trygge på og ha tillit til tjenestene, samt sikre minimumskrav til menneskeverd også i vårt digitale Norge. Skal politikken baseres på personvernprinsippene, rettighetene våre, frihetene våre? Og hva med prinsipper for ivaretagelse av nasjonal innovasjonskraft, prinsipper for datadeling eller prinsipper for integritet i offentlig sektor?

Vi er nå inne i det tredje året der Datatilsynet har en regulatorisk sandkasse for ansvarlig kunstig intelligens og personvern. Vi har så langt hatt ti ferdigstilte prosjekter i sandkassa. To prosjekter pågår i skrivende stund. Vi ser at innovasjon og personvern er verdier som det er fullt mulig å ivareta samtidig, og ser dessuten at kombinasjonen skaper tillit. Personvern må være innebygd i løsningene og tjenestene vi bygger. Sammen skaper vi tillit og menneskeverd i det digitale Norge.

Vi kan med trygghet si at algoritmene har innfridd på bred front, i mange tilfeller ikke til vårt beste. Likevel vil jeg avslutte med noe positivt: la oss ha store forventninger til digitaliseringsstrategien og personvernstrategien som regjeringen nå skal komme med. Jeg forventer at den er konkret og at også den innfrir!

Fremover vil flere trender og teknologier utfordre personvernet. Spesielt kunstig intelligens (KI) er for tiden i alles bevissthet og noe enhver snakker om – med eller uten personvernbriller. Men hvilke tanker gjør du deg om nevroteknologi innen helsesektoren og helseforskning, neste generasjon Internet of Things (IoT) eller desentralisert økonomi og digitale sentralbankpenger? Eller hva med tendensen til all altoppslukende og avhengighetsskapende teknologi mer generelt?

Hamstring av data — hva er nødvendig?

Det teknologiske landskapet flommer over av data, vi lagrer bilder og tekst både som enkeltmennesker og i virksomheter, i stat og kommune. Innen 2025 spås det at vi vil mangle mennesker med IT-ekspertise, og jeg tror folk flest ikke vil klare å henge med på den digitale utviklingen.

Fra år 2018 til 2025 vil det globale datavolumet øke med fem-gangeren, ifølge et estimat av EU-kommisjonen i forbindelse med sitt arbeid med EU Data Act. I 2018 lagret vi totalt 33 ZB. For å illustrere størrelsen: dersom du har et nettbrett som kan lagre 512 GB, så ville 33 ZB danne et tårn med slike nettbrett herfra til månen. Og i 2025 vil vi ha fem slike tårn. Mengden data øker med 1260 nettbrett pr sekund. I samme periode vil etterspørselen på IT-eksperter dobles, fra nesten 6 millioner i 2018, til 11 millioner i 2025. Det er neimen ikke sikkert at de digitale ferdighetene til folk flest ikke øke vil øke i takt med teknologiutviklingen.

Dette skjer samtidig med at europeere vil møte et stadig mer gjennomdigitalisert samfunn. EU-kommisjonens rapport Europe’s Digital Decade: digital targets for 2030 antar at alle nøkkeltjenester i EU vil være digitalisert innen 2030, at alle borgerne vil ha en digital ID og at samme borgere vil ha digital tilgang til helsejournalen sin.

Men akkurat hva, av alt vi lagrer av data, er virkelig nødvendig å lagre, både fra et personvernperspektiv og et bærekrafts- og miljøperspektiv? Dette er et viktig spørsmål som i hvert fall enhver som forvalter personopplysninger plikter å ta stilling til.

Dataøkonomi

Vekstpotensialet til dataøkonomien er stor, og data er grunnlaget for mange nye digitale produkter og tjenester. Bruken av tilkoblede objekter, IoT, genererer stadig mer data.

Tidligere nevnte Data Act, dataloven fra EU, vil gjøre data mer tilgjengelig for ulike aktører på tvers alle økonomiske sektorer i EU for «for a fair and innovative data economy». Men samtidig vil den sette opp regler om hvem som kan bruke data, hvilke data ulike aktører skal ha tilgang til og til hvilket formål de skal bruke dataen til. Loven har også en grenseflate mot personvernforordningen, og vil etter hvert også implementeres i Norge.

Når dine og mine data skal brukes og deles på en slik måte, er det helt klart at informasjonssikkerheten er avgjørende, og derfor har vi som enkeltindivider rettigheter og virksomheter plikter i personvernforordningen.

Hva vil kunne utfordre personvernet fremover?

Vi vil nok stå overfor flere teknologier som utfordrer oss fremover, og som vi sammen må finne løsninger på.

I den økende datamengden omtalt over, vil vi møte på utfordringer av typen mangel på kontroll og fravær av ansvarlighet. Neste generasjon IoT, som bidrar til økende innsamling av data, med storstilt sammenkobling og deling av data, er et eksempel på en teknologi som vil stå overfor slike utfordringer.

Bruk av kunstig intelligens vil utfordre lovligheten i behandlingen av personopplysninger ved trening og i produksjon, i tillegg til utfordringer knyttet til åpenhet, nøyaktighet og rettferdighet. Samtidig vil kunstig intelligens utfordre tilliten vi har til det digitale på bred front – tillit til tjenester, bilder, video, tekst og stemme. Hva er ekte, hva er sant? Samtidig vil kunstig intelligens kunne brukes for å indikere trusler og forbedre informasjonssikkerheten.

Nevroteknologi er teknologi som samler, analyserer og bruker informasjon som produseres og samles inn direkte fra hjernen og nervesystemet vårt (såkalt nevrodata). Teknologien kan brukes til å måle alt fra konsentrasjonsnivå på jobb til å utvikle smarte proteser som etterligner hjernemønstre for å gi raskere respons. Utfordringene med slik teknologi er potensielt mange, men eksempler er diskriminering, enkeltindividers mangel på forståelse av teknologi og terminologi, samt koordinering av felles regler og felles forståelse på et område som både er vitenskapelig, etisk og juridisk komplekst.

Såkalt oppslukende teknologi omfatter teknologi som skaper ulike former for sterke, intense opplevelser, men som potensielt også er avhengighetsskapende og besettende. Ett eksempel er VR-headsett, som gir oss virtuelle opplevelser. Slike enheter samler inn personopplysninger om øyebevegelser, pupillstørrelse, hjertefrekvens, stemme, håndbevegelser osv. Blant utfordringene vi møter på her er å vite hvem er den behandlingsansvarlige, hvorvidt de har lovhjemmel for behandlingen av data, åpenhet, deling og bruk av dataen til andre formål.

En annen ting vi ser er at de store teknologiselskapene vil enda mer på banen med egne betalingstjenester. De kan ha andre formål enn aktører vi er bedre kjent med i dagens og gårsdagens markedsøkonomi. Det foreslåtte tredje betalingstjenestedirektivet (PSD3) fra EU bygger på ideen om at tredjeparter ikke bare skal få tilgang til bankenes kjernesystemer, men også til sjiktet av tjenester bankene har bygget for sine nettbaserte grensesnitt, på toppen av kjernesystemene. Vi vet at de store teknologiselskapene har mye kapital, men også at de kan holde kortene tett til brystet når det gjelder åpenhet rundt bruk av innsamlet informasjon. Utfordringene på dette området kan for eksempel knyttes til lovlighet og åpenhet, eller til respekt for og samsvar med personvernforordningen mer generelt.

Digitale sentralbankpenger (DSP) er digitale kontanter, en type elektroniske penger utstedt i den offisielle pengeenheten som brukes i et land. DSP er videre smarte, digitale kontanter som kan programmeres. DSP vil potensielt kunne få ulike personvernkonsekvenser avhengig av hvilken modell som velges. Konkrete utfordringer kan være sporing, mangel anonymitet ved all type handel og manglende frihet for eksempel fordi andre personer eller aktører kan legge betingelser på penger som overføres til deg.

Et kjennetegn ved all ny teknologi er at det kan brukes med både gode og onde intensjoner. Sagt med andre ord: En teknologi kan både benyttes til å oppklare sikkerhetshendelser, men også til å skape sikkerhendelser. Trusselaktører, for eksempel kriminelle, benytter de samme teknologiene som de som forsøker å beskytte informasjon, og vil kunne bruke teknologien i digitale angrep for å oppnå ulik vinning. Personopplysninger er så å si alltid inngangsverdien til et digitalt angrep. Utfordringene her at den som forvalter våre personopplysninger, den behandlingsansvarlige, må sørge for tilstrekkelig sikkerhet, som innbefatter bevissthets- og sikkerhetsopplæring til sine ansatte.

Verdt en lytt?

Teknologi og personvern har også i høyeste grad en slagside til politikk. Innleggsforfatter Veronica deltok nylig i en podkast om nettopp dette temaet, titulert «Teknologi i personvernets tjeneste», som er del av Datatilsynets podkastserie som følger opp Personvernkommisjonens rapport. Se oversikt over alle våre podkaster på datatilsynet.no.

Når en virksomhet har hatt et datainnbrudd eller blitt hacket, har den ikke da allerede fått sin straff? På mange måter er svaret ja. Det er et krevende arbeid for en virksomhet og for de ansatte når man blir utsatt for et angrep. Først må virksomheten finne ut hva som er skjedd, hvordan det skjedde og hva som var angriperens metode. Har trusselaktøren fremdeles fotfeste inne i virksomheten? Var det et målrettet angrep? Hva fikk trusselaktøren tak i av verdier? Samtidig ønsker man seg tilbake til normal drift så fort som mulig. Det er kaotisk når en virksomhet blir truffet av et dataangrep.

Datatilsynet ser på den som er ansvarlig for personopplysningene

Når alvorlige angrep oppstår, blir ofte politiet, politiets sikkerhetstjeneste (PST), etterretningstjenestene og/eller Nasjonal sikkerhetsmyndighet (NSM) tilkalt for å bistå til oppklaring og eventuelt starte sin etterforskning. Politi, e-tjenesten og PST har ansvaret for å etterforske trusselaktøren, som har angrepet virksomheten. I dette arbeidet har ikke Datatilsynet en aktiv rolle, men blir en rådgiver for virksomheten, dersom personopplysninger er involvert.

I vårt arbeid fokuserer ikke Datatilsynet på trusselaktøren, verken om den er en vinningskriminell, statlig aktør, innsider, internt ansatt, aktivist eller hacktivist, sabotør eller annet.

Vår oppgave er å se på den som er ansvarlig for personopplysningene. Vi undersøker for eksempel hvor godt den ansvarlige har sikret dine og mine personopplysninger mot ulike sårbarheter forut for og i etterkant av hendelsen, uansett trusselaktør.

Vår fokus er borgernes perspektiv, om du er skoleelev, ansatt, innsatt, publikum, pasient, medlem i en forening, familiefar eller nabo. Hvordan har virksomheten som forvalter våre personopplysninger ivaretatt sitt ansvar og forpliktelser? Hvordan var sikkerhetstilstanden rundt personopplysningene hos virksomheten når angrepet oppstod? Var det etablert et styringssystem for personvern og informasjonssikkerhet, der ledelsen hadde gitt føringer og vist tydelig ansvar? Hadde virksomheten identifisert hvilke personopplysninger de forvalter? Hadde de identifisert hvilke trusler som de kunne bli utsatt for, avdekket hvor sårbar virksomheten og iverksatt tiltak som skulle redusere sårbarheten? Hadde virksomheten utarbeidet beredskapsplaner? Var det etablert et system for hendelseshåndtering i virksomheten? Særlig kategorier personopplysninger og personopplysninger relatert til sårbare grupper krever større beskyttelsesvern enn vanlig personopplysninger.

I Datatilsynets oppfølging av brudd på personopplysningssikkerheten vurderer vi iverksatte tiltak og hvor effektive disse tiltakene er.

Få gebyrsaker, men alvorlige

I de mest alvorlige sakene kan det være aktuelt å ilegge overtredelsesgebyr. Rammene for Datatilsynets myndighet følger av personvernforordningen, som sier at overtredelsesgebyrer skal vurderes for hvert enkelt tilfelle, være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende.

I fjor fikk Datatilsynet fikk inn mer enn 2200 avvik, men vi gav bare gebyr i 9 avviksaker, det vil si under 0,5 %. Det betyr at når Datatilsynet faktisk ilegger gebyr så er saken av en slik karakter at den skiller seg ut. Gebyrsakene kjennetegnes av at det har stått dårlig til med sikkerheten i den virksomheten som forvalter mine og dine personopplysninger når sikkerhetshendelsen inntraff, uansett angriper eller årsak til hendelsen.

Enkelte hevder at virksomheter som utsettes for hackerangrep, ikke bør ilegges gebyr, og at de allerede har fått sin straff. Datatilsynets gebyr legger bare en ekstra byrde til virksomheter det allerede er synd på. Datatilsynet har stor sympati for vanskelighetene slike angrep skaper for de som blir rammet. Vi mener likevel at våre gebyrer er virkningsfulle og virker preventivt og opplærende for andre som er i tilsvarende risikosituasjon.

Vi ønsker debatten velkommen, den resulterer i ytterligere spredning av viktigheten av å sikre personopplysninger på en skikkelig måte – og samtidig styrke vår vurdering av virkningen av våre vedtak om gebyrer i de mest alvorlige sakene.

Etter vår mening er det oss som borgere det er synd på, fordi de som skulle beskytte våre personopplysninger ikke gjorde det.

(Dette innlegget ble først publisert på digi.no 16. mars 2022.)

For eksempel var «bråtabrann» nærmest en tradisjon hver vår, en tradisjon som nesten satt fyr på skolen. Det var slåsskamper, sladring om og direkte meldinger til medelever som gjorde at de ble satt utenfor og ble skikkelig lei seg. Vi helte vann på «godstolen» til læreren for at klassen skulle få seg en god latter eller ta hevn for en lekseprøve læreren hadde gitt oss. Noen elever fikk tak i et pornoblad, som de smugleste i skogen bak skolen, et fristed der verken lærere eller foresatte hadde tilgang.

Alle husker vi kanskje noe fra denne tiden – episoder, handlinger og opplevelser som vi kanskje angrer på eller skammer oss over, og som vi nå er glad for at er glemt. Ting som har fått gå i glemmeboken, og ikke fulgt oss videre i livet.

Dagens elever er nok ikke så annerledes enn det vi var. De er like nysgjerrige, de gjør samme type aktiviteter og hyss som oss. Og dette er vel en del av menneskets utvikling fra barn til voksen. Det som er forskjellen mellom meg og dagens skoleelever, er at de fleste aktivitetene de gjør registreres elektronisk.  Aktivitetene kan altså knyttes direkte til dem som barn eller elev. På den måten følger aktivitetene eleven opp gjennom oppveksten. Og kanskje gjelder det aktiviteter både på skolen og i fritiden?

Så – glemmeboka – som jeg er glad fantes i mine barne- og ungdomsår, finnes den lenger, eller er den forsvunnet? Klarer vi voksne å forstå hvilke konsekvenser digitaliseringen får for våre barn og for den oppvoksende generasjon?

På kontoret har jeg en plakat der står: «We shall all die, but our data never dies, they live forever».

Elevene har digitale ferdigheter i bøtter og spann, men mangler ofte digital dømmekraft. Vi voksne må sørge for å ha eller erverve en slik digital dømmekraft. Vi må ta ansvaret for å gi våre elever og barn trygge og solide digitale plattformer og verktøy, hvor personvern er innebygd og personvern er standard.

Barn skal ha frihet til å prøve og feile, utforske og utvikle seg uten at dette skal være tatovert inn i deres «digitale historie». Digitalisering av adferd og prestasjoner har konsekvenser for barns personvern.

Privatliv er et grunnleggende menneskelig behov som skaper rom for refleksjon og utvikling av personligheten. Vi har alle behov for å skape og utvikle sosiale relasjoner og ferdigheter på egen hånd, uten å bli registrert eller manipulert av ulike sosiale eller andre digitale plattformer til å forme hva vi skal mene.

For vi er vel fremdeles subjekter og ikke objekter når samfunnet, kommunen og skolene digitaliseres. La oss sørge for at retten til å bli glemt og få starte på ny, fremdeles finnes i vårt digitaliserte samfunn.

Men har vi nå fått en fjerde sikkerhetsegenskap, Robusthet, med forordningen?

Artikkel 32 i personvernforordningen sier:
1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i […], skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet […]
b) evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene

Hva er egentlig robusthet?

Personvernforordningen definerer ikke robusthet (resilience), men sier likevel noe om det i punkt 49 i fortalen: «[…] å stå imot utilsiktede hendelser eller ulovlige eller skadelige handlinger som svekker tilgjengeligheten, autentisiteten, integriteten og konfidensialiteten […]».

Den mest hensiktsmessige tolkningen av dette er muligens presentert av (National Institute of Standards and Technology, NIST) som sier at robusthet handler om informasjonssystemers evne til å:

• fortsette å operere under ugunstige forhold eller stress, selv under degradert eller svekket tilstand, samtidig som de opprettholder essensiell operasjonell drift; og
• gjenopprette normaltilstand på en effektiv måte, innen en tidsramme som er i samsvar med virksomhetens behov.

Robusthet innebærer at organisasjonen, informasjonssystemer og tjenester som behandler personopplysninger skal kunne tåle endringer og ytre påvirkninger. Samtidig skal personvernprinsippene og de registrertes rettigheter og friheter ivaretas. Dette gjelder under både normale og unormale omstendigheter. Det vil for eksempel si at informasjonssikkerheten i programvare og tjenester ikke svekkes eller må settes opp på nytt, men opprettholdes ved endringer (dette inkluderer oppdateringer) og ytre påvirkninger. Når organisasjonen sikrer at systemene har innebygd personvern og informasjonssikkerhet, bygges robusthet inn i systemene. Robusthet skal også sikre stabilitet over tid for informasjonssystemer som behandler personopplysninger.

Hvordan oppnå robusthet?

Tekniske og organisatoriske tiltak for å oppnå robusthet kan være:

• Regelmessige opplæringstiltak og bevisstgjøringskampanjer for å bygge personvern- og sikkerhetskultur i hele virksomheten
• Prosedyrer for effektiv avvikshåndtering, noe som omfatter å
  • oppdage sikkerhetshendelser,
  • analysere sikkerhetshendelser for å finne ut om det har oppstått brudd på personopplysningssikkerheten,
  • gjenopprette normaltilstand,
  • rapportere brudd på personopplysningssikkerheten til ledelsen, de registrerte, behandlingsansvarlig, Datatilsynet mm,
  • implementere tiltak som lukker sårbarheten som medførte hendelsen,
  • evaluere og lære av hendelsen (omfatter også opplæring av ansatte)
• Tilgangsstyring – ivareta konfidensialitet, integritet og tilgjengelighet
• Regelmessig evaluering av effektiviteten av eksisterende tiltak
• Kontinuerlig vurdere nye tekniske og organisatoriske tiltak med hensyn til «state of the art» og utviklingen i samfunnet
• Regelmessig sikkerhetstesting av systemer, løsninger, programmer og verktøy
• Etablere og vedlikeholde kontinuitetsplaner, inkludert rutiner for sikkerhetskopiering og gjenoppretting.
• Etablere og vedlikeholde beredskapsplaner
• Regelmessige øvelser for de ansatte på kriser og utfordringer i henhold til virksomhetens beredskapsplaner og kontinuitetsplaner
• Styringssystem for personvern og informasjonssikkerhet

Sikkerhetsegenskapene skal ivareta personvernprinsippene

Manglende robusthet kan føre til sikkerhetshendelser. Det er ikke selve mangelen på robusthet som vil være et brudd på informasjonssikkerhet, men resultatet av mangelen på robusthet.

Artikkel 4 punkt 12 i forordningen definerer brudd på personopplysningssikkerheten slik: «et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet».

Alle de fire sikkerhetsegenskapene skal bidra til en effektiv ivaretagelse av personvernprinsippene, og dine og mine rettigheter og friheter. Den behandlingsansvarlige og databehandleren har plikt til å sørge for dette.

Fra at vi tradisjonelt sett har hatt de tre sikkerhetsegenskapene K – I – T, er vi med personvernforordningen beriket med fire? Skal vi forkorte dem R – I – K – T?

Nå som det verste har lagt seg, er det på tide at vi tar et pust i bakken og tenker på personvernutfordringene knyttet til digitaliseringen. I 2020 flyttet mer enn 800 000 elever i grunnskolen og høyere utdanning seg fra skolepulter og lesesaler og inn i digitale klasserom. Per i dag er det i det store og det hele opp til hver enkelt kommune å vurdere om personvernet ivaretas for den enkelte elev i en digital skolehverdag.

Barn og sårbare grupper har et spesielt vern i personvernforordningen, og det stilles strengere krav til behandling av personopplysninger tilhørende barn og sårbare grupper.

Mange spør seg om for mye av barnas aktiviteter og fritid nå registreres digitalt, selv om hensikten er god. Barn skal også få utfolde seg, uttale seg og oppføre seg fritt uten at det tatoveres inn i deres digitale historie.

Hva er innebygd personvern? 

Innebygd personvern og personvern som standardinnstilling er et krav i personopplysningsloven. Det betyr at nye løsninger og ny teknologi skal ha personvern bygget inn fra starten. Det betyr også at de innebygde tiltakene ivaretar dine og mine rettigheter og friheter på en effektiv måte. Eksempler på dette kan være effektiv ivaretakelse av kommunikasjonsvernet til elevene og at kun nødvendige personopplysninger samles inn.

Ifølge barneloven har barn ned i syvårsalderen rett til selvbestemmelse i saker av personlig karakter. Elektronisk kommunikasjon er også personlig, slik som når eleven bruker chat, sender e-post eller diskuterer med andre elever og lærere. Det er viktig at teknologi som benyttes i skolesammenheng, allerede fra idéstadiet har personvern som et urokkelig produktelement. Men hvordan ser dette ut i et produkt eller en tjeneste?

Når det skal designes og implementeres digitale verktøy i skolen, er det viktig å ha en del tanker i hodet samtidig. Hvilke data lagres? Hvordan fremstår dette for den som bruker produktet? Hvilke tillatelser må gis for at produktet skal fungere optimalt? Hva sier brukervilkårene? Hvem har tilgang på informasjonen? Hvem berøres av produktet utover brukeren?

Personvern i alle ledd

Personvern i praksis er når produkter gir gode svar på disse spørsmålene i alle ledd, og personvern i praksis er noe vi alle må få under huden. Om du lager et produkt for barn, sørg for å ha skreddersydde brukervilkår så de er lettfattelige og oversiktlige. Barns rett til selvbestemmelse kan manifestere seg i en trygg innloggingsfunksjon kun barnet har tilgang på, og man kan sikre seg mot at sensitiv data kommer på avveier ved å kryptere dem, eller ved å sørge for at de kun eksisterer i sanntid, og ikke lagres på servere.

For å belyse dette, har jeg lyst til å trekke fram AV1-roboten  som et eksempel på teknologi som ivaretar personvernet på en ansvarlig måte i digital undervisning.

Innebygd personvern i praksis

Hvert år arrangerer Datatilsynet en konkurranse om innebygd personvern i praksis. I fjor kom No Isolation på andreplass i konkurransen med kommunikasjonsroboten AV1, en løsning som nettopp ivaretar personvernet sett fra barnet og barnets perspektiv i digital undervisning.

I juryens begrunnelse pekte vi i juryen på at No Isolation som leverandør tar stort ansvar for en god løsning selv om ansvaret juridisk sett tilhører de behandlingsansvarlige, som i mange tilfeller er kommuner. No Isolation har skapt en helhetlig løsning, hvor personvern er ivaretatt i nesten alle ledd.  Medgrunnlegger av No Isolation, Matias Doyle, forklarer det slik: “Det er viktig at alle som har en AV1 i klasserommet er helt sikre på hvem som er på andre siden. Det skal aldri være tvil om hvem som er pålogget roboten. Derfor må brukeren skrive inn passord hver gang roboten skal brukes.”

Hva nå?

Det var viktig og bra at vi klarte å omstille oss over natten i mars. Men nå må vi sørge for at denne omstillingen ikke skjer på bekostning av personvernet og rettighetene til barn og unge. Vi har derfor utarbeidet en sjekkliste dere alltid bør gå gjennom før nye digitale hjelpemidler i skolen tas i bruk: 

• Husk at kommunen har ansvar for alle elvenes personopplysninger i den digitale undervisningsplattformen.
• Mengden av innsamlede og prosesserte personopplysninger begrenses til det tillatte og kun det som er absolutt nødvendig (dataminimering). Opplysningene skal slettes når videre lagring ikke er nødvendig for formålet. «Select before you collect».
• Den digitale undervisningsplattformen som skolene benytter må designes slik at elever og foresatte er godt nok informert om hvordan plattformen fungerer og hvordan personopplysningene til eleven behandles.  Bruk gjerne bilder, ikoner og symboler for å gjøre informasjonen tydelig. Animasjon, video og lyd kan også være gode virkemidler.
• Skolene må sørge for at både personopplysningene og den digitale plattformen er sikret godt nok. Sikkerheten skal baseres på risikovurderinger. Bruk gjerne anerkjente sikkerhetsstandarder.
• Kommunen er forpliktet til å benytte systemer, programmer og apper som har innebygd personvern og personvern som standardinnstilling.

Ny konkurranse innebygd personvern

Datatilsynet har utlyst en konkurranse om innebygd personvern i praksis også nå i 2020. Vi inviterer der alle som har en løsning, applikasjon eller et system som er utviklet med prinsippene for innebygd personvern til å melde seg på. Det er også en egen kategori for studenter. Påmeldingsfrist er 1. desember 2020.

Lykke til!

Innlegget er skrevet av Martha Eike og Veronica Jarnskjold Buer.

Digitaliseringsskrivet fra regjeringen sier at vi skal digitalisere så mye vi bare kan, og årsaken er vel mye effektivisering og kostnadsbesparing. EU er forenklet sagt en stor handelsavtale, og kommisjonen forventer en omsetning på 75 milliarder Euro innen 2020 på dine og mine data. Da er det utrolig viktig at vi får en ny lov og ny personvernforordning. Loven er viktig for at vi fremover skal kunne ha personvernfremmende teknologi som ivaretar våre rettigheter og våre friheter. For det er en kjensgjerning at driveren for digitalisering og effektivisering er økonomi, og ikke først og fremst til det beste for ditt og mitt personvern. Derfor er det så viktig at teknologi som utvikles, automatiserte prosesser som tar beslutninger om oss eller kunstig intelligens har bygd og ivaretatt personvern i sine løsninger. Og akkurat det er nøkkelen til personvern i dagens og fremtidens teknologi, innebygd personvern og personvern som standardinnstilling.

Et av kravene i ny lovgiving er innebygd personvern og personvern som standardinnstilling. Teksten i personvernforordningen er vanskelig tilgjengelig, så derfor laget Datatilsynet en veileder på dette kravet som ble lansert samtidig i august 2017.

Alle som behandler personopplysninger må påse at de benytter programvare, applikasjoner, teknologi, systemer, løsninger osv. som har innebygd personvern og personvern som standardinnstilling. Det igjen innebærer at de som skal tilby løsninger der det inngår personopplysninger, mangler et marked hvis ikke løsningen ivaretar kravet.

Med en slik konkurranse ønsker vi å løfte frem gode eksempler på teknologi som er personvernfremmende. Vi har fått inn 21 bidrag, og vi kan vel si at ingen av bidragene hadde en løsning der alle krav var ivaretatt. Derfor har vi i juryen valgt å fokusere på det i bidragene som var personvernfremmende. Noen har laget verktøy for å se om eksisterende løsninger og infrastruktur er i samsvar med ny lovgiving, andre har fokusert på sikker overføring eller autentisering, og andre igjen har lagt vekt på en av rettighetene eller personvernprinsippene.

Spesielt viktig for juryens avgjørelse har vært kriteriene om at løsningen skal gjøre det enklere for enkeltpersoner å bruke sine rettigheter, at den skal styrke enkeltpersoners kontroll over egne opplysninger, å gjøre det enklere for virksomheter å etterleve personvernregelverket og å styrke informasjonssikkerhet rundt personopplysninger.

Juryen har hatt fire samlinger. Alle innsendte bidrag har blitt vurdert grundig. På et av møtene var fire finalister invitert til presentere løsningene for oss for å se om vi hadde forstått konseptet i det innsendte bidrag. En slik dialog var viktig for oss for å bedømme riktigheten i fordeler og ulemper for personvernet som løsningen ga.

Alle jurymedlemmene har synes at gjennomgang og vurdering av bidragene har vært et meget interessant arbeid. Vi har ikke vært enige i alt, men vi har hatt gode diskusjoner og argumentasjoner for hva som er personvern i det enkelte bidrag og hvorfor dette elementet er personvernfremmende. Alle i juryen har gjort en solid innsats, vi har fått og gitt, tapt og vunnet – og kommet frem til personvernfremmende elementer i bidragene som videre har ført til en vinner av konkurransen.

Det siste året har vi sett mange store (for eksempel Google) og små virksomheter som misforstår hva et samtykke er! Et samtykke er ikke at du må akseptere leverandørens vilkår for å få bruke deres løsning, da har de oversett både personvern som standardinnstilling, dataminimering, formålsbegrensning og sikkert flere av personvernprinsippene og de registrertes rettigheter. Kanskje får juryen se gode eksempler på samtykke i neste års konkurranse?

I bidragene i årets konkurranse har vi savnet gode eksempler på prinsippet om dataminimering, altså minimer og begrens mengden av innsamlede og prosesserte personopplysninger til det tillatte og kun det som er absolutt nødvendig. Opplysningene skal også slettes når videre lagring ikke er nødvendig for formålet. Slagordet er «Select before you collect».

Kanskje vi kan få se gode eksempler på hvordan man gir informasjon? Stikkord er kort, konsist, og klart og tydelig språk om hvordan programvaren fungerer og hvordan personopplysninger behandles. Informasjon skal gis dersom det foregår profilering og/eller automatisert behandling av personopplysninger, og hvordan det foregår. Vi trenger gode eksempler på de spesielle kravene som gjelder dersom programvaren skal rettes mot barn. Kan for eksempel bilder, ikoner og symboler brukes for gjøre informasjonen om løsningen tydeligere? Eller kan animasjon, video og lyd kan være gode virkemidler for å tilpasse informasjonen til brukerens nivå for forståelse?

Vi ønsker at vi til neste år ser mange engasjerte studentbidrag, for det er de som er våre kommende utviklere, og de som må skape løsninger som gir oss personvern også i fremtiden.

Medlemmene i 2017-juryen vil bli de samme som sitter i juryen for konkurransen i 2018. Vi gleder oss til å se mer av personvernfremmende teknologi. Og kjære bidragsytere, private, offentlige, studenter og pensjonister:

Overrask oss positivt!

Lykke til i konkurransen.

Kronikk av senioringeniør i Datatilsynet Veronica Jarnskjold Buer, Atle Alvheim avdelingsdirektør i Norsk senter for forskningsdata og prosjektleder for RAIRD og Svein Johansen seniorrådgiver, Statistisk sentralbyrå som ble publisert på forskning.no 25.09.2017

I Norge samler vi store mengder informasjon om personer og virksomheter i registre. Dette gir unike muligheter for forskning om effekter og sammenhenger om alt fra frafall i videregående skole til pensjonsordninger til integrering.

Med informasjonsrikdommen følger et personverndilemma. Det er alltid en fare for at forskeren direkte eller indirekte kan kjenne igjen menneskene hun forsker på. Derfor er bruken av registerdata strengt regulert for å beskytte personopplysninger, noe som kan forsinke, fordyre og i enkelte tilfeller stoppe forskningen.

Nå blir det mulig å skjerme individopplysninger og forenkle forskernes tilgang til denne informasjonen. I en ny forskningsinfrastruktur kan du forske på registerdata uten å se dem. Løsningen har arbeidsnavnet Remote Access Infrastructure for Register Data (RAIRD).

Mer forskning, bedre personvern

Ved hjelp av det nye systemet kan forskeren arbeide med individdata uten å se enkeltindivider. Systemet er utviklet av Norsk senter for forskningsdata (NSD) og Statistisk Sentralbyrå (SSB) med midler fra Norges forskningsråd. De kaller det et anonymiserende grensesnitt. Tanken bak er at det er resultatene som er viktige for forskningen, ikke enkeltindividene.

Forskeren kan sette sammen den populasjonen og de analysene hun er ute etter på grunnlag av databeskrivelser, såkalte metadata. Dette går inn i systemet og blir behandlet i et miljø som forskeren ikke har tilgang til. Resultatene kommer ut gjennom et filter som sikrer at de er anonyme.

Mindre tidkrevende byråkrati

I dagens system for tilgang til forskningsdata får forskerne låne avidentifiserte kopier av selve dataene. Dette forutsetter omfattende og tidkrevende søknader som kan involvere forskningsinstitusjonens personvernombud, Datatilsynet, Regionale etiske forskningskomiteer, SSB og de ulike registereierne.

Dataene er indirekte identifiserbare. Derfor må forskerne undertegne taushetserklæringer for å bruke dem. Med RAIRD er det ikke lenger nødvendig med disse arbeidskrevende søknadene.

Betaversjonen av RAIRD kommer på lufta mot slutten av 2017. Fordi grensesnittet er anonymiserende, kan forskerne arbeide via internett, og de trenger ikke søke om data for hvert enkelt forskningsprosjekt.

Som et sikkerhetstiltak må de identifisere seg med MinID eller tilsvarende når de logger seg på sin RAIRD-konto, og aktiviteten blir logget.

Datatilsynet opptatt av personvernfremmende teknologi

25. mai 2018 trer det i kraft et nytt regelverk for personvern som vil gjelde for alle EU/EØS-land (personvernforordningen). De enkelte lands datatilsyn skal tolke og håndheve regelverket på samme måte.

Personvernprinsippene blir viktige for oss alle å forstå, enten vi er forskere, behandlingsansvarlige eller databehandlere. Personopplysningene våre skal behandles på en lovlig, rettferdig og gjennomsiktig måte, og de skal samles inn for bestemte, uttrykkelig angitte og rettmessige formål.

Det skal ikke samles inn flere personopplysninger enn nødvendig. Personopplysningene skal være riktige  og ha begrenset lagringstid. Som før stilles det krav til konfidensialitet, integritet og tilgjengelighet rundt personopplysningene.

Ansvarlighetsprinsippet blir betydelig forsterket, det innebærer at forskere, databehandlingsansvarlige og databehandlere etter lovervekt ikke bare har ansvar men også må demonstrere at de tar ansvar.

Innebygd personvern i praksis

For forskere som gjør kvantitative analyser er befolkningsregistre viktige kilder. De må behandles etter forskningsetiske regler og det nye regelverket. Stikkord her er samtykke, kontrakt, rettslig forpliktelse, vitale interesser, oppgave i samfunnets interesse eller legitime interesser. Samtykke er sentralt ved forskning på personopplysninger.

Den nye personvernforordningen styrker den registrertes rettigheter. For eksempel skal det være like enkelt for den registrerte å trekke tilbake som å gi samtykke.

Spesielt kan forskere synes dette er tungt når de kartlegger om en problematikk er interessant nok til å gå videre med. Med tanke på denne utfordringen mener Datatilsynet at NSD og SSBs RAIRD-løsning er god og et godt eksempel på innebygd personvern i praksis.

Sikkerhet fra start til slutt

Innebygd personvern tar hensyn til personvern og datasikkerhet gjennom hele utviklingsløpet. Personvern skal gjøres til standardinnstilling. Det skal være åpenhet om hvordan systemet fungerer og behandler personopplysninger, det skal legges til rette for innsyn i egne opplysninger og være mulig å kontrollere at systemet ivaretar personvernet.

Datatilsynet vil i løpet av sommeren 2017 komme med en veiledning om innebygd personvern i tråd med den nye personvernlovgivningen. I veiledningen vil kravene fra forordningen dekkes for alle aktiviteter i et utviklingsløp, fra idéstadiet  til systemet tas i bruk.

Gode og omfattende registerdata er både en mulighet og en risiko. RAIRD er viktig fordi systemet bygger personvernet inn i teknologien. Det gir forskerne raskere tilgang til viktige data, samtidig som det øker sikkerheten for oss som blir forsket på.

Innlegget på forskning.no