I DN 14. februar uttrykker PST frustrasjon over at ansatte i norske virksomheter i mindre grad er tilgjengelige for forebyggingssamtaler. Kan det være at PSTs metoder utfordrer rettsstaten på en slik måte at de gjør arbeidet med å sikre Norge vanskeligere?

Hva er forebyggingssamtaler?

PST gjør forebyggingssamtaler med personer som ikke har gjort noe straffbart. De bruker det som et konkret virkemiddel for å kartlegge og forebygge trusler. Forutsetningen for å gjennomføre en samtale er at PST har kartlagt enkeltpersoner eller miljøer som potensielt utgjør en trussel.

Dette er en form for over overvåkning, og nettopp uklarhetene rundt forebyggingssamtalene kan forsterke de negative effektene av overvåkning.

Rettsstatens prinsipper bygger tillit

Rettsstatsprinsipper er til for å verne borgerne. Som en heldig bieffekt gir de også en stat bygget på tillit. Utgangspunktet i en rettsstat er at myndighetene ikke har noe med privatlivet til borgerne eller opplysningene til virksomhetene å gjøre, uten at det er godt begrunnet. Gode grunner kan for eksempel være kriminalitetsbekjempelse, nasjonal sikkerhet eller andre viktige samfunnshensyn. Men det må også rammes inn av et solid lovverk.

Problemet med forebyggingssamtaler er at de beveger seg i rettsstatens yttergrense. De har et svakt og lite utviklet rettslig grunnlag. Både form og innhold kan disse politimetodene skape usikkerhet knyttet til overvåkning og bruk av makt.

Eksempler på problematisk metodebruk

Når det gjelder form, så kan både DNs artikkel 14. februar med personer i sikkerhetssensitive virksomheter, og PSTs «dawn raid» mot ungdom som er aktive i radikale grupper på nettet, tjene som eksempel metodebruk som kan forsterke negative konsekvenser.

PST oppsøkte en rekke barn hjemme tidlig om morgenen 13. juni i fjor, i en koordinert aksjon for å ta en prat om ytringer de hadde kommet med på nett. PST selv omtaler det som en « «skånsom håndsrekning». Det er enkelt å tenke seg mer skånsomme måter å gjennomføre en forebyggingssamtale på.

Uformelle møter svekker tilliten

I DNs artikkel leser vi om at enkeltpersoner kontaktes direkte og at samtalen kan gjennomføres på «kafé eller restaurant. Det kan være å gå en tur i en park, eller ta en biltur.» Men det er også påpekt at det ikke må virke for hemmelig.

Personer som er undergitt virksomhetenes taushetsplikt, skal altså dele informasjon med PST på et tynt rettslig grunnlag, gjerne på en kafé og uten noen form for notoritet. Hvem ville i den sikkerhetspolitiske situasjonen vi står i dra på kafé med en tilfeldig person for å snakke om sikkerheten i virksomheten?

Dette innlegget sto på trykk først i DN 7. mars 2025.

I undersøkelsen presenterer vi funnene fra en befolkningsundersøkelse som ble utført av analyseselskapet Opinion på vegne av Datatilsynet. Vi spurte blant annet om hva folk tenker om kunstig intelligens, og vi ba dem om å ta stilling til ulike påstander.

For at maskinlæringsløsninger skal kunne gi presise prediksjoner eller anbefalinger, kreves det ofte bruk av store mengder data. Disse dataene handler ofte om mennesker og vil derfor være å anse som personopplysninger.

I undersøkelsen vår er nesten syv at ti enige i at kunstig intelligens vil utfordre personvernet ved at informasjon om dem samles inn og brukes på måter de ikke er enige i.

Vi har også stilt spørsmål om kunstig intelligens i arbeidslivet. Historisk sett har teknologiske endringer i arbeidslivet skapt stort engasjement ettersom det kan rokke på folks livsgrunnlag, for eksempel om de vil ha en jobb og inntekt i fremtiden.

Omtrent halvparten (51 prosent) sier seg enige i at kunstig intelligens vil føre til at flere mister jobben, uten at det skapes nok nye jobber. Samtidig sier nesten halvparten (47 prosent) seg enige i at kunstig intelligens vil bedre arbeidslivet fordi mennesker slipper å gjøre oppgaver som er kjedelige eller farlige.

Holdninger til konkret bruk av kunstig intelligens

I undersøkelsen vår ba vi videre folk om å ta stilling til konkrete scenarioer hvor KI kan brukes.

Den aktiviteten flest (42 prosent) er positive til, er å bruke kunstig intelligens til å stille diagnoser og foreslå behandlinger. Dette kan være fordi mange ser potensialet og nytten ved slik bruk, samt en allerede etablert tillit til helsesektoren. Samtidig er 41 prosent negative, noe som indikerer bekymring for mulige negative konsekvenser.  

Når det gjelder bruken av kunstig intelligens til å behandle lånesøknader i banken, er den største andelen (45 prosent) av folk negative. Dette er bruksområder hvor det har foregått diskusjoner om etiske problemstillinger, slik som rettferdig behandling og diskriminering, og hvorvidt en algoritme kan ta en god beslutning om hvem som får – eller ikke får – stønad eller lån.

Det folk er mest negative til er bruk av kunstig intelligens for måling og kontroll av produktivitet på jobben. Gjennomgående i undersøkelsene Datatilsynet har gjennomført, ser vi at folk er skeptiske til ulike former for kontrolltiltak i arbeidslivet, uavhengig av hvilken teknologi som blir brukt.

Myndighetene bør ta en aktiv rolle

Det er naturlig å tenke på regulering som en løsning på mange av utfordringene som kunstig intelligens kan by på. Men i hvilken grad mener folk at myndighetene bør ta en aktiv rolle i å regulere kunstig intelligens for å sikre en ansvarlig utvikling?

Svarene viser at det er bred støtte (84 prosent) for at myndighetene bør ta en aktiv rolle i reguleringen av kunstig intelligens.

Dette synet har også vært fremtredende i den politiske debatten de siste årene. For eksempel var hovedbudskapet i Personvernkommisjonens rapport fra 2022 at det er nødvendig å få på plass en nasjonal personvernpolitikk for at digitaliseringen skal skje i tråd med grunnleggende menneskerettigheter.

I den nye digitaliseringsstrategien skriver regjeringen at de ser på digitalisering som en viktig del av løsningen på samfunnsutfordringene våre. Hvordan strategien følges opp i praksis, vil vise om myndighetene faktisk kan bidra og oppfordre til en utvikling av kunstig intelligens på en måte som bevarer tilliten i samfunnet, eller om folk vil være mer skeptiske til bruken av kunstig intelligens på måter som påvirker deres hverdag.

Etter den første bølga med generative KI-verktøy som kunne gjere mykje artig, var 2024 året for integrerte KI-verktøy i systema vi allereie brukar. Slik som Microsofts M365 Copilot. Vi blir lokka med ein enklare og meir effektiv arbeidskvardag. Men det har også ein pris. Ikkje berre i kroner og øre.

Grundig kalkyle frå NTNU

Kva den prisen blir, er eit komplekst reknestykke. Så kva er vel betre enn at ein tung og truverdig aktør som NTNU tok på seg oppgåva med å rekne seg fram til eit svar. I god akademisk ånd gjekk dei grundig til verks. Og dei involverte oss i Datatilsynet ved å bli med i vår regulatoriske sandkasse. Det er eit veiledningtilbud, der vi kan gå djupare i materien – og ja, på ein måte vere meir løysningsorienterte – enn rammene tillet oss i tradisjonelle veiledningsformer.

Vi merka at mange «der ute» venta i spenning på vurderingane og erfaringane frå prosjektet. I slutten av november lanserte vi rapporten som ser på korleis ein stor offentleg aktør som NTNU eventuelt kan ta i bruk M365 Copilot.

Sjå rapporten «Copilot med personvernbriller på».

Før det hadde NTNU også laga ein rapport med viktige funn utover det reint personvernmessige, der dei tar for seg både forvaltning, opplæring, økonomiske kostnader og korleis eit slikt verktøy kan påverke organisasjonen og arbeidsmiljøet.

Sjå NTNUs funnrapport.

Forsiktig med den røde knappen

Hovedbudskapet er at verksemder bør vere varsame med å berre trykke på den røde knappen og ta i bruk dette eller liknande integrerte KI-verktøy utan å gjere grundige vurderingar i forkant, i tillegg til å sikre kontrollmekanismar og god opplæring av brukarane. For dette er kraftfulle saker.

Begge rapportane er pedagogisk oppbygd og delt inn i 8-9 funn eller hovedpunkt. Det er verdt å lese dei begge, men som ein appetittvekker, skal du få fem sentrale punkt her:  

1. Start med ein strategi.

Definer tydeleg kva verksemda ønsker å oppnå, kva områder som er aktuelle for KI-bruk og kva områder ein bør halde utanfor. Som hovedregel er generativ KI best når du allereie kan det du vil at den skal hjelpe deg med, du har kapasitet til å kvalitetssikre arbeidet, og er villig til å ta det heile og fulle ansvaret for feil i det den leverer.

2. Sørg for orden i eige hus.

Dette er superviktig. Copilot finn (og behandlar) all informasjon du har tilgang til. Det er godt muleg at du har tilgang til mykje meir informasjon enn du er klar over. Det kjem an på om verksemda di har stålkontroll, eller ikkje, på tilgangsstyring og alt som fins av personopplysningar i systema som blir brukt. Sjølv om lova krev at verksemder har stålkontroll – om enn i meir juridiske formuleringar – ville det vere naivt av Datatilsynet å ta for gitt – slik leverandøren av Copilot gjer – at absolutt alle faktisk har det.

Ei utfordring med Copilot er at svakheter i «den digitale grunnmuren» blir synlege og kraftig forsterka med eit verktøy som har tilgang til alt du har tilgang til – og veit å utnytte seg av det.

Eller for å ta den positive tilnærminga: premien til dei som har skikkeleg orden i eige hus, er at dei har ein langt kortare veg til å kunne ta i bruk integrert KI, som for eksempel Copilot.

3. Tenk grundig (og kreativt) gjennom kva som kan gå galt?

Brukarar vil dele alle typar data med, og bruke, generativ kunstig intelligens til det dei kan. Sånn er det berre. Er det muleg, vil det bli gjort. Det er viktig å ta med seg inn når ein skal gjere vurderingar av kva personvernkonsekvensar det vil få å ta i bruk eit slikt verktøy. Ein kan ikkje ta for gitt at folk berre brukar verktøyet slik sjefane har tenkt.

Og apropos sjefane: dette verktøyet kan brukast som bossware. «Kan» her som i teknologisk – ikkje juridisk – mulighet. La meg sitere frå NTNUs funn:

«arbeidsgivere kan vurdere ansattes prestasjoner og adferd basert på skriftlig innhold de har tilgang til, som filer, dokumenter, Teams-chatter, e-postkorrespondanse, Teams-innhold, følelsesreaksjoner (emojis), transkripsjoner fra møter med automatisk opptak, osv. Ansatte har ingen mulighet til å finne ut om en slik vurdering av dem selv har skjedd.»

NTNU oppdaga at det er lett å få verktøyet til å seie noko om humør og sinnsstemning til andre tilsette. Og:

«Når Copilot har for lite informasjon å jobbe med, kan det oppstå utfordringer med løgn og hallusinasjoner. Det er sannsynlig at Copilot kan «finne på» følelser for de ansatte, noe som gjør denne problemstillingen enda mer utfordrende.»

Ein kanskje litt kontroversiell tanke i NTNU-rapporten er å vurdere om for eksempel leiarar med personalansvar ikkje skal få tilgang til Copilot, mens tilsette «på gølvet» kan få det?

På toppen av det heile er dette eit verktøy i stadig endring – på godt og vondt. Feil blir fortløpande retta, verktøyet blir stadig justert, men nye funksjonar blir også stadig lagt til. Det gjer det utfordrande å forvalte. Det krev ei vaken IT-avdeling. Det krev masse opplæring. Og det krev disiplinerte brukarar.

Så sett frå eit personvernperspektiv; det er mykje som kan gå galt og mange ledd det kan svikte i. Og det er verksemda sitt ansvar å ha tenkt grundig gjennom alt.

4. Vurder alternative løysingar.

Viss nokon av blomstrane i bedet ser litt tørste ut, set du ikkje heile hagen under vatn. Då er vi tilbake til strategien. Kanskje held det med eit par meir spissa KI-verktøy, som gjer akkurat dei arbeidsoppgåvene det er (mest) behov for, i staden for dei integrerte som skal slurpe i seg det som fins av data i organisasjonen?

Det er definitivt verd å ta med i kalkuleringane, når arbeidet i organisasjonen skal effektiviserast, at det kan vere langt meir ressurskrevande å forvalte eit stort og komplekst verktøy, enn eit par små.

Og – kanskje litt pussig, men eit siste punkt:

5.  Ikkje hopp på KI-toget utan ein exit-strategi.

Ha ein klar plan for korleis verktøyet kan bli skrudd av, om nødvendig, før du slår det på.

Nederland har nyleg fraråda statlege verksemder å ta i bruk Copilot. Nokon vil kanskje påstå at vi i praksis gjer det samme. Men nei, teknologien har mykje bra i seg, og det handlar om å finne gode og praktiske tilnærmingar for å ta den i bruk på ein forsvarleg måte. Vår oppfordring er å gjere det i små og kontrollerte steg.

Men – dersom både dei som bygger KI-toget og passasjerane som kastar seg på er drevet av frykt for å ikkje vere fremst i toget, er det nok oppskrifta på ein ganske forutsigbar 💥 🙈

Personvernet vil lide dersom ei verksemd lar vere å innføre informasjonssikringstiltak.

Forbodet mot å overvake arbeidstakarars bruk av elektronisk utstyr ligg bortgøymt i ei ufullstendig forskrift. Datatilsynet har tatt initiativ overfor fleire departement for å løfte utfordringane med forskrifta. I mellomtida gjer vi det vi kan for å rettleie verksemder og arbeidstakarar.

Forskrifta med det noko misvisande namnet  «forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk materiale» inneheld eit forbod mot å overvake arbeidstakarars bruk av elektronisk utstyr, i andre avsnitt av paragraf 2. Når Datatilsynet møter bedrifter og offentlege aktørar, merkar vi at mange ikkje har høyrt om dette overvakingsforbodet. Vi er glade for at advokatane ved Thommessen har løfta dette ut av ekspertsirklane og over i ein offentleg debatt. Vi ønskjer å kome med vårt perspektiv i samtalen.

Vi er einig med advokatane ved Thommessen i at det er på tide å revidere den nemnde forskrifta. På grunnlag av erfaringane vi har gjort oss sidan forskrifta kom i 2018, føreslo vi i fjor endringar for Arbeids- og inkluderingsdepartementet. Vi har også tatt initiativ overfor både Justisdepartementet og Kommunal- og distriktsdepartementet for å løfte utfordringane med forskrifta. I denne dialogen er overvakingsforbodet eit sentralt tema. Medan endringsforslaga ligg hos lovgjevarane, vil vi i Datatilsynet gjere det vi kan, ved å rettleie verksemder og arbeidstakarar.

Formålet med forbodet i forskrifta er å gje norske arbeidstakarar eit større vern mot å bli overvaka av sjefen enn det som følgjer av den europeiske personvernforordninga (GDPR). Overvaking som skjer med formål å avdekkje eller oppklare «sikkerhetsbrudd i nettverket» er likevel tillate etter forskrifta, som eitt av to unntak. Vi støttar advokat Vanebos oppfatning om at verksemder kan gjennomføre viktige informasjonssikringstiltak innanfor dagens regelverk.

Personvernet vil lide dersom ei verksemd lar vere å innføre informasjonssikringstiltak. Eit eksempel kan vere logging for å oppklare cyberangrep, fordi leiinga er usikre på om tiltaket er lovleg.  Informasjonssikringstiltak tryggjer ikkje berre viktige verdiar for verksemdene, men også personopplysningane til tilsette, kundar, innbyggjarar og leverandørar. Informasjonssikring er påbode i GDPR, for å sikre at personopplysningar er tilgjengelege for dei som treng dei når dei treng dei og for at integriteten blir ivaretatt.

Datatilsynet arbeider med rettleiing

Vi arbeider allereie med eit utkast til rettleiing på Datatilsynet.no om overvakingsforbodet i e-postforskrifta paragraf 2. Der vil vi gje praktiske eksempel på korleis verksemder kan gå fram for å gjennomføre informasjonssikring, som inneber overvaking av arbeidstakarar.

Det vanskelegaste spørsmålet for oss er likevel kor grensa går for overvaking, når formålet ikkje er relatert til drift eller sikkerheit. Kor mykje kan ein leiar følgje med på arbeidsaktiviteten til dei tilsette før det blir rekna som overvaking? Arbeidsgjevarar kan ha mange andre gode formål enn informasjonssikring, for eksempel ressursallokering. Dersom ei slik kartlegging blir rekna som overvaking, er kartlegginga forbode etter dagens forskrift.

Dei siste åra har mange nye verkty kome på marknaden, som hentar inn store mengder informasjon, som analyserer korleis dei tilsette arbeider. Vi treng å drøfte konsekvensane av å bruke slike verkty i fellesskap. Planen er derfor at Datatilsynet skal leggje utkastet til rettleiar på høyring, slik at alle som ønskjer kan gje innspel.

Meir praktisk og relevant rettleiing er ein sentral del av Datatilsynets nye satsing. Vi vil i løpet av våren ta kontakt med ei rekkje aktørar for å få høyre kva vi i Datatilsynet kan gjere for at aktørane på enklast mogleg måte kan overhalde personvernreglane. 

Heilt til slutt minner vi om at arbeidsgjevarane må følgje reglane i GDPR , sjølv om eit informasjonssikringstiltak er innanfor unntaket om sikkerheitsbrot i e-postforskrifta. Dagens tips til verksemder som ønskjer å ta i bruk teknologi som kartlegg tilsette er

• Vurder personvernkonsekvensane for dei tilsette (GDPR art. 35)
• Gi god informasjon til dei tilsette

Cyberangrep er stadig i overskriftene, og det er berre å innsjå det – vi menneske er det svakaste leddet. Nokon av oss klikkar febrilsk unna alle varselboksar som poppar opp, og jobbar uforstyrra vidare. Nokon deler villig vekk persondata på ukjente sider. Andre har innsikt i farane der ute, men med oppblåst, digital sjølvtillit hoppar dei over it-sjefens kurs for alle i bedrifta. Det er som regel gammalt nytt. Våre forkunnskapar om og interesser for informasjonssikring er forskjellige. Det er utfordrande for dei som prøvar å førebyggje mot cyberangrep og phishing. Korleis kan vi lage ei opplæring som funkar?

Å gjere informasjonssikring interessant

Kva om vi kunne få til spesialtilpassa opplæring på jobb, for å sikre oss mot både sosial manipulasjon og «hacking»? Ei opplæring som treff oss med akkurat dei tiltaka vi treng, og med pedagogiske triks som gjer oss motivert til å lære? Det er muleg. Det er berre ein liten hake ved det. All denne informasjonen som trengs for å vite kva som funkar på akkurat deg – kven skal ha tilgang til den?

Ville du hatt tillit til at sjefen ikkje brukte slike sensitive data, som var meint for tilpassing av opplæringa, for å fordele opprykk og spennande prosjekt? Eller enda verre – som påskott for å bli kvitt upopulære medarbeidarar? Korleis kan dei som utviklar og bruker kunstig intelligens gå fram for å vinne tillit frå tilsette? Dette er nokre av spørsmåla Secure Practice har utforska ilag med Datatilsynet i sandkassa for kunstig intelligens.

Kunstig intelligent, ekte kjent

For å få spesialtilpassa opplæring, må vi først bli kartlagt. Verktyet som Secure Practice utviklar bruker maskinlæring – ei form for kunstig intelligens – for å samle og samanstille informasjon om dei tilsette i ei verksemd.

I verktyet kan tilsette for det første svare på spørsmål om kunnskap og vanar innanfor  informasjonssikring. For det andre kan verktyet byggje på erfaring frå testar, som til dømes simulert phishing. Phishing er ei form for sosial manipulering, der cyberkriminelle for eksempel prøver å lure folk til å trykkje på ei skadeleg lenkje i ein e -post. Simulert phishing er som ei brannøving, der verksemda sender liknande e-post til dei tilsette, men i kontrollerte former. Om ein tilsett klikkar på lenkja eller ikkje, seier noko om kor medviten den enkelte tilsette er om informasjonssikring.

Den samanstilte informasjonen blir deretter brukt til å kalkulere ein risikokategori for kvar enkelt tilsett. Kva for risikokategori den tilsette hamnar i, avgjer kva for opplæring han eller ho får tilbod om.

Tillit må til

Stoler du ikkje på KI-verktyet, vil du kanskje føle deg overvaka. Du kan vegre deg for å for å svare ærleg på spørsmål i kartlegginga. Kanskje vil du også bruke retten du har i personvernforordninga til å protestere mot kartlegginga. Alt dette verkar inn på om det er lovleg å bruke verktyet.

Arbeidsgjevaren kan nemleg berre behandle personopplysningane om deg dersom opplysningane er eigna og nødvendige for å oppnå målet om betre opplæring i informasjonssikring. I tillegg må interessene til informasjonssikring vege tyngre enn dei tilsettes personvern. Protesterer du, krevst det enda meir overvekt for omsynet til informasjonssikring, halde opp mot ditt personvern.

Korleis vinne tillit frå dei tilsette?

For det første må du ha eit system som fortener tillit. Tenestetilbydarar og arbeidsgjevarar må lage gode kontraktar. Det er grunnleggjande å avtale kven som har ansvaret for at KI-systemet blir brukt på ein måte som oppfyller krava i personvernregelverket. Er det arbeidsgjevarane, tenestetilbydarane eller begge i fellesskap? I prosjektet vårt var det dessutan viktig å finne ut kven som skulle ha tilgang til personopplysningane som blir samla inn om den enkelte tilsette. Dei tilsette ville vere betre beskytta, dersom berre tenestetilbydaren skulle handtere desse opplysningane. Kanskje er det ikkje så avgjerande om du stolar på sjefen, dersom du har tillit til tenesteytaren og programvaren?

I tillegg til gode avtalar trengst det tekniske tiltak for å hindre at uvedkomande får tilgang til opplysningane om dei enkelte. Informasjonen om tilsettes svake punkt er gull verdt for “vondsinna” aktørar. Her er pseudonymisering, kryptering og tilgangsstyring nyttige stikkord.

Faren for falsk tryggleik

Men det hjelper veldig lite med verdas sikraste system om ikkje dei tilsette skjønar det eller stoler på det. Dei tilsette må få informasjon om korleis ansvaret er fordelt og korleis opplysningane om dei blir brukt. Informasjonen må vere lett tilgjengeleg og formulert på ein enkel og klar måte.

I prosjektet har vi spurt fokusgrupper med ulik bakgrunn korleis dei ønskjer å få informasjon. Vi erfarte at ikkje all openheit var god. Dersom verktyet for eksempel forklarte nivået på opplæringa med at den tilsette tidlegare var blitt lurt i ein test, kunne det skape irritasjon og stå i vegen for vidare læring.

Vi spurde også kva for informasjon dei var villig til å gi frå seg. Det var store individuelle forskjellar. Somme var opptatt av at opplysningane om dei tilsette vart godt sikra mot tilgang frå arbeidsgjevaren, og at tilsette burde få uttale seg før verktyet vart tatt i bruk. Andre framheva at dei måtte forstå målet med verktyet og korleis det verkar, for å svare ærleg.

Og uærlege svar er rusk i det finstemte KI-maskineriet. Nøkkelen til kunstig intelligens som verkeleg verkar er tillit. Tonnevis med tillit.

Dagens tips frå sandkassa:

Ikkje ta lett på kommunikasjonen med dei tilsette. Den er avgjerande for tilitten. Som er avgjerande for at verktyet verkar.

• Sluttrapporten frå sandkasseprosjektet med Secure Practice skal vere ferdig og bli publisert i november. Då vil du finne den på Sandkassesiden.
• Hald deg oppdatert på kva som skjer i sandkassa, søknadsfristar og arrangement ved å abonnere på sandkassas eige nyhendebrev: Sandkassebrevet.
• Vil du lese meir om korleis svindlarane går fram? Sjå Koronasvindlerne – Personvernbloggen.

Det kan være vanskelig å navigere i de mange hundre arrangementene som går av stabelen, mange i parallell, derfor denne guiden til Arendalsuka. Det er viktig å velge riktig, og det å velge riktig i denne sammenhengen er selvsagt å stalke oss i Datatilsynet under uken i august. Men vær obs, denne bloggen kommer med en advarsel: Ting endrer seg fort, nye deltagere kan komme til, innretningen på debattene kan endres og nye kan komme til. Sjekk gjerne linkene under hver programpost for siste, oppdaterte informasjon.

Mandag 16. august: Digitalt demokrati: Smittefritt, men er det for alle?

Data påvirker og data flytter makt, data kan bidra til å avgjøre valg og stenge folk ute fra viktige plattformer. Men har åpenheten en pris, og er den for alle? Denne debatten er den første vi deltar i på årets Arendalsuke, og beskrives slik av arrangøren:

Digitaliseringen har vært avgjørende for å holde Norge i gang under koronapandemien, men med på lasset får vi Facebook-annonser, hacking og konspirasjoner. Pandemien gjør at husbesøk og folkemøter i valgkampen erstattes av innlegg på sosiale medier og samlinger på Teams. Bystyremøter strømmes på Facebook, og innbyggerne kan gi tilbakemeldinger i kommentarfeltet. Men klarer vi å nå alle på de nye arenaene?

Jeg deltar sammen med blant annet direktør Tore Tennøe i Teknologirådet.

Tid: 16.08, kl. 14.00-15.00 | Sted: Demokrativerkstedet i Arendal |Arrangør: Sopra Steria

Lenke til arrangement: https://arendalsuka.no/event/user-view/16611

Tirsdag 17. august: Personvernet slår tilbake

Personvernet er under stadig press, både fra kommersielle aktører og offentlige etater. Nå er tiden inne til å diskutere personvernets kår, og om vi nå endelig går inn i personvernets tidsalder. 

Bakgrunnen for denne diskusjonen er blant annet viktige avgjørelser mot de store teknologiselskapene, søksmål mot Facebook etter oppkjøpet av WhatsApp, viktige dommer fra EMD og EU-domstolen knyttet til overvåkning og Schrems-dommen, som har sendt personvern-sjokkbølger gjennom Europa og USA. I Norge har vi varslet et gebyr på 100 mill. til Grindr.

Arrangementets første panel består av Adele Matheson (NIM), Karsten Friis (NUPI) og undertegnede, og tar for seg den statlige overvåkingen i samfunnet. Det andre panelet tar for seg den kommersielle overvåkingen, og består av Ingrid Lise Blyverket (Forbrukerrådet), Vivi Rignes Wilhelmsen (Forsvarets Høyskole). Jeg deltar også i dette panelet. Moderator for arrangementet er Martin Gundersen i NRKBeta. 

Tid: 17. august kl. 8.00-9.00 | Sted: Samfunnsteltet – jubileumsscene | Arrangør: Datatilsynet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15452

Tirsdag 17. august: Digitalisering i skolen – har vi glemt personvernet?

Personvern i skolen har vært et viktig tema for Datatilsynet i mange år. Nå har Bouvet gjennomført en undersøkelse om personvernets kår i skolesektoren. De beskrives arrangementet slik:

Skolen har blitt kræsj-digitalisert under koronaen. Det svømmer over av nye digitale læringsverktøy og mange skoler har utvist en fantastisk kreativitet. Samtidig er Bouvet bekymret for personvernet til lærere og barn. Derfor har vi gjort en omfattende undersøkelse om status på personvern i skolen. På bakgrunn av undersøkelsen tar vi debatten om konsekvensene av kræsj-digitaliseringen av skolen.

• Er det på tide å dra i bremsen for å sikre at ikke personopplysninger om elever blir misbrukt, eller er det noen skoler som er for strenge i møte med nye apper og digitale tjenester? 
• Må lærerutdanning, skoleforvaltningen og metodefriheten i skolen endres som en konsekvens av digitaliseringen?

Blant deltagerne finner vi Simen Sommerfeldt, teknologidirektør i Bouvet, Tonje Brenna, Stortingsrepresentant fra Arbeiderpartiet og Steffen Handal, leder i Utdanningsforbundet. Jeg deltar fra Datatilsynet.

Tid: Tirsdag 17/8 2021 10:00 – 11:00 | Sted: Castelle | Arrangør: Bouvet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15713

Tirsdag 17. august: Maktkamp og samarbeid i kampen mot klimaendringene

Personopplysninger brukes i dag, litt forenklet, til alt. At vi mottar reklame basert på nettaktiviteten vår er gammelt nytt, men tema for denne diskusjonen bringer oss inn på et nytt felt: Hvordan bruke personopplysninger for å bekjempe klimaendringer? Arrangementet beskrives slik:

Hva kjennetegner de ledende selskapene i den grønne omstillingen? Hva er folkets fotavtrykk? Hva tenker forbrukerne om kommunikasjon og markedsføring av bærekraft? Hvordan ivareta personvern når vi spør om dine data for å ivareta miljøvern? Hvilken rolle og virkemidler har kommunene i å motivere innbyggerne til adferdsendring? 

Rolf Jarle Brøske og Jan-Frode Janson fra Sparebank1 SMN, Anne Kathrine Slungård fra Forbrukerrådet, Børge Brende, President i World Economic Forum, Gunelie Winum fra Ducky og flere holder innlegg for å svare på spørsmålene under arrangementet, der jeg deltar fra Datatilsynet

Tid: 17. august kl. 11.15 – 12.00 | Sted: Arendal kino | Arrangør: Sparebank1 SMN

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16693

Tirsdag 17. august: Kunstig intelligens på arbeidsplassen

Kunstig intelligens er på full fart inn i arbeidslivet. Ny teknologi kan gi både økt verdiskaping og nye arbeidsplasser. Samtidig ser vi eksempler på at kunstig intelligens har ført til diskriminering av minoriteter eller blir brukt til å overvåke de ansatte. Hvordan kan kunstig intelligens bli et gode for alle – og ikke oppleves som en trussel? Hvordan legger vi til rette for god utnyttelse av ny teknologi, samtidig som vi ivaretar sosiale konsekvenser? Hvordan kan de ansatte påvirke utviklingen, og hvordan vil EUs nye regulering av kunstig intelligens påvirke arbeidslivet?

Kari Laumann, prosjektleder for vår regulatoriske sandkasse for kunstig intelligens, deltar fra Datatilsynet.

Tid: 17. august kl. 18.00 – 19.00 | Sted: Clarion Hotel Tyriholmen | Arrangør: Negotia, Finansforbundet og NITO

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16206

Onsdag 18. august: Rundebordsamtale om datadeling

Data har stor verdi og data skal deles, bare så det er slått fast nok en gang. Men i en årrekke har vi diskutert hvordan vi skal dele data på lovlig vis, hvilke begrensninger som finnes og hvordan vi kan overkomme disse. Denne debatten beskrives slik:

Data er en ressurs som samfunnet må utnytte bedre. All offentlig oppgaveløsning og tjenesteutvikling innebærer bruk av data. Viderebruk av offentlig informasjon handler om å gi næringsliv, forskere og sivilsamfunn tilgang til åpne data fra offentlig sektor på en måte som gjør at de kan brukes i nye sammenhenger, skape nye tjenester og gi økt verdiskaping for sluttbrukeren. 

Det er mange gevinster å hente på å dele data bedre, særlig innenfor effektivitet, mulighetsrom og brukeropplevelse. Samtidig møter en raskt på utfordringer knyttet til personvern og datasikkerhet. Det er behov for mer kunnskap om hvordan infrastrukturen, både i statlig og kommunal sektor, kan tilrettelegges for deling av data. 

Tata Consultancy Services (TCS), som IT- og teknologiekspert, ønsker å organisere en rundbordssamtale  med aktører engasjert i dette temaet for å diskutere muligheter, hindringer og potensielle løsninger. Med sin unike innsikt i løsninger og teknologi, kan TCS lede en diskusjon rundt dette temaet og hva dette betyr for virksomheter og befolkningen.   

Rundbordssamtalen vil engasjere forkjempere av datadeling, forsvarere av personvern og datasikkerhet, fra offentlig og privat sektor, med lærepunkter fra forskjellige industrier, når det gjelder avansert datadeling. Dette gleder jeg meg til å diskutere.

Tid: 18. august kl 10-11. | Sted: Madam Reiersen | Arrangør: Tata Consultancy Service  

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16151

Onsdag 18. august: Personvern for barn og unge – hvordan sikrer vi at barna blir hørt?

Arbeidet med å bedre barns personvern har over lang tid vært rettet mot skolesektoren, og det har vært sett på hvordan skolens digitale verktøy for opplæring og kommunikasjon må sikre elevenes personopplysninger.

Tiden er inne for å rette blikket mot de unge selv også. Hvilke verktøy har barn og unge for å få hjelp til å ta gode valg for seg selv? Hva gjør samfunnet for å sikre at barna faktisk blir hørt og de settes i stand til å ivareta sitt eget personvern? 

Barneombud i Barneombudet, Inga Bejer Engh, influenser og samfunnsdebattant Kristin Gjelsvik, og undertegnede tar debatten. Sara Eline Grønvold er moderator. 

Tid: 18. august kl. 15.00 – 16.00 | Sted: Arendal bibliotek | Arrangør: Datatilsynet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15322

Torsdag 19. august: Raskere og mer treffsikker kreftbehandling – hvordan bruke kunstig intelligens til pasientens beste?

Personvern og helse er et svært sentralt tema. Kanskje er det i denne sektoren persondata kan gjøre mest samfunnsnytte? Samtidig er det ingen sektor som har flere registre og mer sensitive data om oss. Det evige spørsmålet er: Hvordan skal vi balansere disse interessene?

Arrangøren beskrives debatten slik: Krav til pasientforløp og ventetid legger stadig større press på spesialisthelsetjenesten. Behovet for raskere diagnostisering og gode verktøy for å avhjelpe kapasitets- og kvalitetsproblemer øker. Å ta i bruk teknologi som baserer seg på KI avhenger av at det etableres gode og forutsigbare rammebetingelser. Dette vil være særlig viktig innen kreftområdet.

I debatten deltar politikere, helsepersonell, beslutningstagere, forskere og jeg, for å diskutere hvordan kunstig intelligens kan bli en større del av løsningen på noen av helsetjenestens utfordringer fremover. Men, hva må eventuelt endres?

Tid: 19. august kl. 11.00 – 12.00 | Sted: Rederikontoret | Arrangør: Siemens Healthineers

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15873

Torsdag 19. august: Blir vi best? Eller kommer vi i bakleksa? Debatt om kunstig intelligens, innovasjon og personvern

Jeg tror fullt og fast på at personvern og innovasjon kan gå hånd i hånd. Nettopp derfor har vi etablert regulatorisk sandkasse for kunstig intelligens, som så langt har vært en stor suksess.

Samtidig ser vi spenninger internasjonalt. Europa tar lederrollen som den ansvarlige på KI-fronten. Og Norge vil være best av de beste. Men hvordan blir hårete mål og strenge personvernregler fulgt opp når gründere vil gjøre geniale idéer til teknologiske tilskudd på et galopperende KI-marked? Graver vi vår egen KI-grav, eller vil de andre følge i våre fotspor? Hvordan er det for innovatørene i kampen mot globale konkurrenter med langt slappere krav? Regulerer vi oss inn i bakleksa? Eller er det vi som vinner til slutt?

Datatilsynet og DigitalNorway inviterer til diskusjon, som vil gå over to paneler. Til arrangementet kommer blant annet Erlend Andreas Gjære (Secure Practice), Anders Bryhni (Sintef), Ingeborg Frøysnes (IKT-Norge), Kjetil Thorvik Brun (Abelia) og Liv Dingsør (DigitalNorway). Kollega Kari Laumann og jeg deltar fra Datatilsynet.  

Tid: 19. august kl. 12.30 – 14.00 | Sted: Thon Hotel Arendal | Arrangør: Datatilsynet og DigitalNorway

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15317

Datatilsynet har den siste tiden varslet og ilagt flere overtredelsesgebyrer for ulovlig videresending av ansattes e-postkasse. Slik ulovlig videresending kan få store økonomiske konsekvenser for arbeidsgiver, avhengig av hva som har skjedd i den enkelte saken, og det høyeste gebyret vi har ilagt så langt er på 250 000 kr.

Krenker både arbeidstakers og avsendernes rett til personvern

De spurte i Personvernundersøkelsen 2019/2020 mener at både hvem man kommuniserer med på e-post, og innholdet i kommunikasjonen, er svært beskyttelsesverdig. 87 prosent mener at det er viktig at lovverket beskytter informasjon om hvem man kommuniserer med på telefon og e-post, mens 93 prosent mener at det er viktig at lovverket særlig beskytter innholdet i kommunikasjonen. Disse tallene er nesten uendret siden 2014.

Dette spørsmålet gjaldt e-post generelt, men det er lett å tenke seg at det oppleves som minst like inngripende når arbeidsgiver får oversendt all e-post som kommer inn til din personlige e-postkasse på jobb. Mange arbeidstakere bruker også e-postkassen til private formål, som for eksempel kommunikasjon med skolen til barna deres.

Forbudt med automatisk videresending

Selv om arbeidsgiver ikke har onde hensikter, er det fort gjort å gå i baret her.

Det er faktisk ulovlig for arbeidsgiver å aktivere automatisk videresending av en nåværende eller tidligere ansatts e-postkasse. Dette følger av langvarig praksis både hos Datatilsynet og i Personvernnemnda. Likevel mottar Datatilsynet mange klager som gjelder situasjoner der en arbeidsgiver har aktivert automatisk videresending av en ansatts e-postkasse, for eksempel i forbindelse med sykefravær eller etter at arbeidstakeren har sluttet i jobben.

Automatisk videresending av arbeidstakers personlige e-postkasse på arbeidsplassen rammes av forbudet mot arbeidsgivers overvåking av den ansattes elektroniske utstyr på arbeidsplassen, og er ikke lovlig. Overvåking av elektronisk utstyr er kun tillatt dersom det skjer med det formål å administrere virksomhetens datanettverk eller å avdekke eller oppklare sikkerhetsbrudd i nettverket, og automatisk videresending av e-post oppfyller ikke dette unntaket.

Praktisk og dyrt

Personvernnemnda behandlet nylig en sak som gjaldt et overtredelsesgebyr for ulovlig automatisk videresending (PVN-2021-03). Saken gjaldt en arbeidsplass der en leder aktiverte automatisk videresending av en ansatts e-postkasse i forbindelse med arbeidstakeren var sykemeldt. Dette skjedde uten at arbeidstakeren fikk informasjon om videresendingen, og uten at arbeidsgiveren vurderte arbeidstakerens protester slik personvernforordningen (GDPR) krever at de gjør.

Vi ser alvorlig på denne typen saker fordi automatisk vidersending av en ansatts personlige e-postkasse er en grov krenkelse av hennes rett til personvern. Videresendingen krenker i tillegg personvernet til de personene som i god tro skriver til arbeidstakerens personlige e-postadresse.

Hva er forskjellen på innsyn og videresending?

Automatisk videresending betyr at arbeidsgiver forløpende får videresendt innkommende e-post til en e-postkasse. Dette har altså Datatilsynet og Personvernnemnda slått fast at er ulovlig.

Innsyn i e-postkasse betyr at arbeidsgiver ved en enkeltstående anledning går inn i arbeidstakerens e-postkasse. Til forskjell fra automatisk videresending, kan innsyn ved noen tilfeller være lovlig.

Personvernforordningen og de norske særreglene i forskrift om arbeidsgivers innsyn i e-postkasse og annet elektroniske materiale, gjerne kalt e-postforskriften, åpner for at arbeidsgiver på nærmere bestemte vilkår kan gjøre enkeltstående innsyn, for konkrete formål, i arbeidstakers e-postkasse.

Når dette er sagt er ikke innsyn i ansattes e-postkasse noe man skal gjøre bare fordi det er praktisk. Det er strenge regler i både personvernforordningen og e-postforskriften som må være oppfylt for at innsyn skal være lovlig. At en ansatt skal på ferie vil ikke i seg selv være nok til å gjøre innsyn. Her må arbeidsgiver bruke mindre inngripende tiltak, som at den ansatte aktiverer en fraværsassistent mens vedkommende er borte. Du finner mer veiledning om reglene for innsyn i e-postkasse på våre nettsider.

Skriftlige rutiner og grundige vurderinger

Innsyn i ansattes e-postkasse er et stort inngrep i deres personvern, og er ikke noe man som arbeidsgiver skal ta lett på.

Det er derfor viktig at arbeidsgivere har gode skriftlige rutiner som sørger for at arbeidsgiveren følger loven, og som gjør at arbeidstakerne skjønner når innsyn kan være aktuelt. Det er også viktig at arbeidsgivere gjør en grundig vurdering av om innsynet de planlegger er lovlig etter personvernforordningen og e-postforskriften før de setter i gang.

Husk at automatisk videresending ikke er lov, og at det er strenge vilkår som må være oppfylt hvis arbeidsgiver ønsker å gjøre enkeltstående innsyn for konkrete formål. Hvis arbeidsgiver bommer på dette, kan det som virker som en praktisk løsning for å ikke gå glipp av viktig e-post fort bli veldig dyrt.

Datatilsynets sommertips er altså; husk solkrem, og dropp automatisk videresending av e-post i ferien!

Veldig private opplysninger

I Personvernundersøkelsen 2019/2020 kom det fram at vi opplever opplysninger om privatøkonomien vår som særlig beskyttelsesverdig, faktisk mer enn opplysninger om hvem vi kommuniserer med på telefon og e-post, og opplysninger om hvor vi har vært og hvor vi beveger oss.

En kredittvurdering av en enkeltperson eller et enkeltpersonforetak, sier veldig mye om enkeltpersoners privatøkonomi. For eksempel sier den noe om inntekt, eventuelle betalingsanmerkninger, og gjeldsgrad. I tillegg inneholder kredittvurderingen en poengsum som angir sannsynligheten for at personen vil kunne betale for seg.

En kredittvurdering inneholder altså veldig private opplysninger om oss, og de fleste vil derfor oppleve det som veldig ubehagelig å bli kredittvurdert av et selskap vi ikke har noe forhold til. Både det at opplysningene i seg selv er veldig private, og at det oppleves veldig ubehagelig for den enkelte, er også grunnen til at Datatilsynet ser alvorlig på denne typen lovbrudd og vanligvis reagerer med overtredelsesgebyr.

Kan ikke benyttes til private formål

Mange virksomheter har avtaler med kredittopplysningsselskaper, og har fri tilgang til å kredittvurdere enkeltpersoner og enkeltpersonforetak gjennom en nettportal eller integrert API i regnskapssystemet sitt. Selv om en virksomhet har tilgang til å gjøre kredittvurderinger, er det ikke fritt frem. Vi ser ofte at virksomhetenes adgang brukes av de ansatte til å foreta kredittvurderinger for mer private formål, for eksempel naboer eller tidligere ektefeller. Selv om virksomheten har et kredittvurderingsverktøy, betyr ikke det at man kan bruke det til private formål.

Når du som ansatt eller eier av en virksomhet vil kredittvurdere noen, er det viktig at dere holder dere innenfor personvernforordningens rammer. Det aller viktigste er at virksomheten må ha et rettslig grunnlag for å kredittvurdere den aktuelle personen.

Når Datatilsynet vurderer om en kredittvurdering er lovlig vil vurderingstemaet ofte være om virksomheten som har gjort kredittvurderingen (den behandlingsansvarlige) hadde en «berettiget interesse», eller et «saklig behov» som det het i den opphevede personopplysningsforskriften, for å kredittvurdere akkurat denne personen (den registrerte). Vi ser da blant annet på forholdet mellom den behandlingsansvarlige og den registrerte, og om det var påregnelig for den registrerte å bli kredittvurdert av virksomheten.

Et kjapt søk kan fort bli dyrt

En nylig avgjørelse fra Personvernnemnda er illustrerende. I nemndas sak PVN-2020-21 hadde daglig leder i «Flisleggingssenter AS» kredittvurdert naboen sin. Daglig leder var bekymret for at naboen ikke skulle kunne betale for eventuelle skader på hans eiendom i forbindelse med byggearbeider på naboeiendommen. Han mente altså at han som privatperson hadde et saklig behov for å kredittvurdere naboen sin, og brukte derfor jobbens kredittvurderingsverktøy til å kredittvurdere naboen.

Personvernnemnda konkluderte, i likhet med Datatilsynet, med at Flisleggingssenter AS ikke hadde en «berettiget interesse» i å kredittvurdere naboen – kort oppsummert fordi personen aldri hadde hatt noe med flisleggingssenteret å gjøre. Nemnda uttalte at daglig leders kredittvurdering til private formål åpenbart var i strid med loven, og at saken innebar en grunnleggende krenkelse av naboen personvernrettigheter. Flisleggingssenteret ble ilagt et gebyr på 150 000 kroner, og pålagt å lage bedre skriftlige rutiner.

Hvis den som blir kredittvurdert aldri har hatt noe med virksomheten å gjøre, men kun har blitt kredittvurdert fordi noen i virksomheten personlig mente å ha et saklig behov for dette, så er veien kort til å konkludere med at loven er brutt. Hvis du mener å ha behov for en kredittvurdering som privatperson må du gjøre det på riktig måte, og kontakte kredittopplysningsselskapet direkte som privatperson.

En ubetenksom kredittvurdering kan bli veldig dyr. I saken med flisleggingssenteret indikerte Personvernnemnda at gebyret på 150 000 kroner i alle fall ikke var for høyt. Det kan derfor tenkes enda høyere gebyrer for ulovlige kredittvurderinger i fremtiden avhengig av saken.

Viktig med skriftlige rutiner

For å forhindre lovbrudd og sørge for at kredittvurderinger bare skjer innenfor lovens rammer bør alle virksomheter som bruker kredittvurderingsverktøy lage skriftlige rutiner som sier noe om når det er lov å kredittvurdere og ikke. Det er viktig at slike rutiner også følges opp med god opplæring.

Husk at kredittvurderinger alltid skal ha et rettslig grunnlag, og at det som kanskje kan virke som en praktisk løsning for å finne ut av om noen kan betale for seg fort kan bli veldig dyrt.

Mange forbinder cyberkriminalitet utelukkende med tradisjonell hacking – å utnytte tekniske sårbarheter i datasystemene for å bryte seg inn i dem. Av den grunn er det også mange som knytter sikringstiltak til datamaskiner og IT-avdelingen, for eksempel ved installasjon av brannmurer, antivirusprogrammer og sikkerhetsoppdateringer. Man kan komme langt med tekniske sikringstiltak, men ofte forsøker angriperne å omgå den tekniske beskyttelsen ved å rette angrepet mot det svakeste leddet i systemet, nemlig deg. Dette kalles sosial manipulering.

Generelt sett er sosial manipulering utnyttelse av menneskelige sårbarheter for å oppnå ulovlige eller uetiske mål. I IT-sammenheng er typiske mål å få tilgang til datasystemer, informasjon eller penger. Ofte forsøker cyberkriminelle å oppnå dette ved å sende ut e-poster med skadevare eller lenker til nettsteder hvor man blir bedt om å oppgi brukernavn og passord, det som kalles phishing. I tillegg til e-post benyttes telefon og SMS.

Jo mer de cyberkriminelle vet om ofrene sine, jo mer målrettede kan angrepene være.

Målrettede angrep har mye høyere sannsynlighet for å lykkes, i tillegg til at de kan forbli uoppdaget svært lenge. I noen tilfeller blir de kanskje ikke oppdaget i det hele tatt. Sosial manipulering er en av de mest brukte metodene og grunnen er enkel: vi mennesker er nesten alltid det svakeste leddet i et informasjonssystem.

Mer sosial manipulering i koronatiden

Datatilsynet får daglig inn meldinger om brudd på personopplysningssikkerheten (avvik). Samlet kan disse meldingene si noe om hvilke trusler virksomheter står overfor og trendene hos ondsinnede aktører. I begynnelsen av koronapandemien ble det tydelig at slagordet «aldri la en god krise gå til spille» også ble omfavnet av cyberkriminelle. Vi opplevde en økning i antall meldinger om løsepengevirus og phishing, som kunne tyde på at trendene var i endring hos angriperne. Dette førte til at vi nylig publiserte en veileder om phishing.

Det var ikke bare vi som så at trusselbildet var i endring. I april kom NSM med en oppdatert advarsel om risiko i forbindelse med covid-19. I varselet skriver de at ondsinnede aktører blant annet utgir seg for å være WHO eller statlige helseinstitusjoner. Vi ser altså at angriperne nå benytter covid-19 som tema i angrepene sine, og fenomenet er verdensomspennende. Interpol fastslår i sin COVID-19 Cybercrime Analysis Report fra august at flere medlemsland melder om betydelig bruk av covid-19 som tema i phishing og nettsvindel. I ECHO-rapporten The COVID-19 Hackers Mind-set konkluderer de med at covid-19 gir cyberkriminelle en unik mulighet til å benytte eksisterende angrepsmetoder i ny kontekst, og dermed ha høyere sannsynlighet for å lykkes med angrepsforsøkene.

Det er neppe noen grunn til å tro at denne trenden vil avta med det første.

Helsedirektoratet meldte på Twitter senest 18. august om at svindlere ringer opp personer og forteller at de har blitt smittet, for deretter å be om betalingskortinformasjon for et test-kit. I tiden fremover kan vi tenke oss at de samme metodene vil benyttes for å lure folk til å betale for ikke-eksisterende tjenester eller vaksiner, eller foreta falske investeringer. Vi vil kanskje oppleve at cyberkriminelle utgir seg for å være representanter fra en bank, og tilbyr oss å kjøpe aksjer i selskaper som er kommet langt i utviklingen av en vaksine. Når det annonseres at vi har en vaksine klar er det sannsynlig at cyberkriminelle vil utgi seg for å være offentlige myndigheter og tilby personer prioritert vaksinering mot betaling. De vil også kunne utgi seg for å være ansatte i bedriftshelsetjenester og prøve å lure store virksomheter til å betale regninger for vaksinering av sine ansatte. Det er kun fantasien som setter begrensninger for hvilke tilnærming angriperne velger – og fantasien deres er ofte god.

Hvorfor blir vi mer sårbare under en pandemi?

Vi mennesker kan påvirkes i stor grad, spesielt av angripere som vet noe om oss. Vi styres i stor grad av følelser som frykt, usikkerhet, grådighet og tillit. Uavhengig av om vi er i en pandemi forsøker kriminelle å utnytte disse sidene ved oss. Følelsene som gjør oss til mennesker gjør oss dermed også sårbare for manipulasjon.

De iboende sårbarhetene våre er imidlertid enda lettere å utnytte i en pandemi, fordi svært mange deler de samme følelsene samtidig. Vi har nok alle kjent på både usikkerhet og frykt i løpet av koronapandemien. Mange har nok også kjent en dypere frykt for utviklingen i verdenssamfunnet, at verden som helhet oppleves som et mer usikkert sted.

Når samme tema angår svært mange mennesker kan cyberkriminelle gjøre en rekke antagelser med høy treffprosent. De kan for eksempel anta de fleste ønsker at det skal komme en vaksine, slik at samfunnet kan åpne helt opp igjen. Målgruppen for sosial manipulering med vaksinetematikk er dermed tilnærmet hele samfunnet. Så lenge angriperen er overbevisende nok i fremstillingen sin kan svært mange bli lurt.

En annen side av pandemien er manglende rutiner fra arbeidsgiver, eller at vi kanskje ikke er like nøye med å følge rutiner fra hjemmekontoret. Vi ble tross alt kastet inn i en arbeidshverdag de færreste hadde planlagt for på forhånd. Det er for eksempel vanskeligere å forhøre seg om mistenkelige e-poster, telefoner eller SMS-er på hjemmekontoret enn på kontoret. De fleste har ikke den samme nærheten til kollegaene sine fra hjemmekontoret, og kommunikasjonen flyter ikke på samme måte som før. Hvis kollegaene dine har mye å gjøre vil du kanskje nøle mer med å spørre over telefon enn om du kunne stukket innom kontoret.

Omgivelsene våre og utstyret vi bruker spiller også en rolle. Hvis du skal passe barn samtidig som du jobber er du sannsynligvis mer uoppmerksom, og kan lettere lures til å klikke på skadelige lenker eller godkjenne fakturaer fra svindlere.

Mange jobber kanskje også fra private datamaskiner hjemme, uten at virksomheten har tatt stilling til hvilke rutiner som skal gjelde for det. Vi skal heller ikke glemme at hjemmet er en sfære knyttet til fritid og trygghet, og at det i seg selv kan påvirke atferden vår.

Hva kan vi gjøre?

Konklusjonen er at risikoen for sosial manipulering under koronapandemien er større enn ellers. For å redusere risikoen må vi blant annet være nøye med å sjekke hvem som forsøker å kommunisere med oss og innholdet i kommunikasjonen. Vi må være spesielt oppmerksomme dersom vi mottar koronarelaterte tilbud, eller blir bedt om å betale regninger eller klikke på lenker. Vi må være veldig sikre på at kilden er autentisk dersom vi blir bedt om å oppgi brukernavn og passord eller åpne programmer og filer.

Som arbeidstagere må vi strebe etter å følge rutiner også på hjemmekontoret.

Om noe er usikkert er det bedre å kontakte en kollega eller sjefen enn å la det være. Dersom virksomheten ikke har gode rutiner bør vi si fra til lederne våre og være pådrivere for å få på plass disse. Samlet sett krever beskyttelse mot sosial manipulering årvåkenhet fra oss alle – både som privatpersoner, arbeidstagere og arbeidsgivere. Vi skal sannsynligvis utfordres på dette flere ganger i nær fremtid.

Koronaviruset rammet det norske arbeidslivet hardt. Antall arbeidsledige hos NAV økte fra 3,7 til over 10 prosent etter utbruddet av pandemien. Antall permitterte steg fra 5 000 i februar til 257 000 i mars. Fire av ti fikk hjemmekontor eller måtte studere hjemme.

I tillegg til økt bruk av hjemmekontor, ble smittereduserende tiltak innført overalt. Hånddesinfeksjonsmidler ble satt fram, og mange utførte risikovurderinger for å vurdere smittefare. Noen gikk også lengre. Sykehuset Østfold brukte varmekamera for å måle temperaturen til ansatte og andre som oppholdt seg på sykehuset. Varmekameraet registrerte om man hadde feber, slik at de kunne filtrere ut ansatte eller besøkende til en mer nøyaktig måling. Oljeselskapet Aker BP testet alle ansatte og kontraktører som reiste til plattformer i Nordsjøen og i Norskehavet.

Omfanget av kontrolltiltak som har blitt innført på norske arbeidsplasser under pandemien er foreløpig ukjent. Ifølge en internasjonal studie fra International Association of Privacy Professionals (IAPP) ser vi imidlertid en økning i flere land:

• 53 prosent av virksomheter har etterspurt informasjon om private reiser som ansatte har gjennomført.
• 35 prosent har spurt om helsestatusen til ansatte.
• 23 prosent har tatt temperaturen på ansatte for å finne smitte.

Det er god grunn til å tro at slike tiltak også har vært aktuelle på mange norske arbeidsplasser.

Tvungen helsekontroll av arbeidstakere kan medføre brudd av personvernregelverket. Personvernregelverket forhindrer likevel ikke nødvendigvis arbeidsgivere fra å gjøre hensiktsmessige tiltak for å holde ansatte trygge og friske under den pågående pandemien. Men hvis arbeidsgivere vil teste ansatte for sykdom eller symptomer av COVID-19, må flere forhold vurderes. I tillegg til å oppfylle vilkårene i arbeidsmiljøloven kapittel 9 (om kontrolltiltak i virksomheter), må de også ha et grunnlag for å behandle helseopplysninger etter kriteriene i personvernregelverket.

Sjefen ser deg på hjemmekontoret

Koronakrisen har også forsterket utviskingen av skillet mellom privatliv og arbeidsliv.

Med de ansatte på hjemmekontor i uker i strekk, har arbeidsgivere hatt behov for å finne nye alternative måter å følge opp de ansattes arbeid. I enkelte tilfeller på måter som utfordrer de ansattes personvern i eget hjem. 

Markedet for verktøy som overvåker ansattes digitale atferd er svært profitabelt og utbredt i mange land med svakere personvern- og arbeidsmiljølovgivning enn i Norge. Mange selskaper tilbyr verktøy som viser hva ansatte bruker skjermtiden på, hvor mye tid som brukes på å skrive på tastaturet eller bevege musen, og funksjoner som tar skjermopptak av hva som foregår på PC-skjermen.

Den amerikanske nyhetssiden VOX har vist at det under pandemien i USA har vært en kraftig økning av salg og bruk av sporingsverktøy som gir arbeidsgivere muligheten til å se hva som skjer på de ansattes skjermer. New York Times har også rapportert om den økte bruken av slike verktøy i USA for å kontrollere hjemmeværende ansatte i løpet av pandemien.

Overvåkingsmekanismer er også til stede i mange videokonferanseverktøy. Zoom tilbød for eksempel en funksjon hvor møteleder fikk vite om noen av deltagerne klikket seg vekk fra konferansevinduet i mer enn 30 sekunder. Denne funksjonen ble deaktivert etter en klagestorm mot selskapet.

Det er ikke klart hvor mange som bruker slike verktøy i Norge. Både personvernregelverket og arbeidsmiljøloven legger betydelige begrensninger på hvordan arbeidsgivere kan overvåke og spore sine ansatte. Datatilsynet har tidligere slått fast at skjermopptak av ansattes skjermer medfører brudd på regelverket. Den flate strukturen på mange norske arbeidsplasser bidrar sannsynligvis til motstand mot slike kontrollmidler i Norge. Likevel kan det godt tenkes at man vil se en mer utbredt bruk av disse verktøyene også her. Økt bruk av hjemmekontor vil skape et kontrollbehov for arbeidsgivere, og verktøyene for kontroll, overvåking og sporing er billigere og lettere tilgjengelige enn noen gang.

Truer hjemmekontor virksomhetenes informasjonssikkerhet?

Den plutselige økningen av arbeidstakere på hjemmekontor har også ført til et vell av spørsmål knyttet til informasjonssikkerhet.

Datatilsynet erfarer at førstelinjen i koronapandemien, som lærere og ansatte i helsetjenesten, har kjapt måtte sette seg inn i nye digitale verktøy for å utføre sitt arbeid. Dette inkluderer verktøy som Facebook Messenger, Zoom, Snapchat og Skype. Disse løsningene er enkle, men ikke nødvendigvis sikre. Interpol slo nylig alarm om den kraftige økningen i cyberangrep i forbindelse med pandemien. De fleste henvendelsene Datatilsynet har mottatt angående Covid-19, har å gjøre med informasjonssikkerhet. Det ble også en økning i varslede avvik til Datatilsynet som gjaldt hacking, malware og phishing. Dette reflekterer at risiko for brudd på informasjonssikkerheten øker i takt med hvor digitalisert vår arbeidshverdag er. Datatilsynet har lansert en veileder om phishing i etterkant av pandemiutbruddet.

Nordmenn er generelt negative til overvåking, men spesielt på arbeidsplassen

Datatilsynet har gjennomført flere undersøkelser som viser at folk er negative til overvåking på arbeidsplassen. I en nylig publisert befolkningsundersøkelse fant vi at seks av ti mellom 20 og 59 år er negative til overvåking der de utfører sine arbeidsoppgaver eller studerer. Like mange er negative til at overvåkningsanlegg på arbeidsplasser gjenkjenner og registrerer ansatte. En undersøkelse som forskningsinstituttet Fafo gjennomførte i 2019 viste at digitale systemer som går tett inn på den enkelte, med muligheter for direkte og detaljert kontroll og overvåking, oppleves som ubehagelig for mange ansatte. Det kan også være en skjult pris for å betale for overvåking av de ansatte. Undersøkelsen viser nemlig også at overvåkingstiltak på arbeidsplassen kan svekke tilliten til ledelsen.  

Vil økt bruk av kontrolltiltak bli den nye normalen?

Pandemien har midlertidig økt presset på arbeidstakeres privatliv og rett til personvern. Spørsmålet er om denne situasjonen vil vedvare, og om krisetilstanden under pandemien vil bane veien for mer inngripende kontroll av arbeidstakere generelt.

Det er lite som tilsier at mange av tiltakene for å kontrollere smittereduksjon i arbeidslivet vil og bør strekke seg utover krisesituasjonen.

Flere arbeidstakere på hjemmekontor er likevel en trend som vil vedvare uavhengig av pandemien. Hvilke kontrolltiltak som er akseptable må derfor være del av en større diskusjon om ansattes rettigheter, forventninger til arbeidsgivere, og grensedragning opp mot arbeidsmiljø- og personvernregelverket.