2023 har vært et sammenhengende gjennombrudd for generativ kunstig intelligens, og «KI-generert» er årets nyord. Verktøyene er både artige og nyttige, men utfordrer også personvernet. Vi markerte dagen med et arrangement om tematikken, og løfter her frem noen høydepunkter fra dagen.

Hva skjedde i 2023?

Med Open AI ble generativ KI allemannseie og representerer denne generasjonens viktigste teknologigjennombrudd. Mange mener at hemmeligheten bak suksessen ligger i at modellen oppleves menneskelig når du bruker den. Det ligger dessuten stor variasjon av muligheter i store språkmodeller, fra å lage chatbots og programmeringskode til å skape kunst og oversette tekster, for å nevne noe.

Denne kraftige teknologien har også noen skyggesider knyttet til de enorme datamengdene modellen er trent på, slik som manglende åpenhet og potensial for misbruk av ondsinnede aktører. Som konsekvens krevde 1000 eksperter et midlertidig forbud, og idet italienske datatilsynet påla OpenAI om å stanse all behandling av data fra italienske brukere, kunne direktør i Datatilsynet, Line Coll, fortelle.

Av andre saker med stor betydning i 2023 trakk Line frem følgende:

• EU-U.S. Data Privacy Framework: Et nytt avtaleverk som gjør det mulig å overføre personopplysning mellom EU og USA.   
• Meta-saken: Datatilsynet fattet et vedtak om at Metas behandling av personopplysninger for adferdsbasert markedsføring var ulovlig på Facebook og Instagram.
• Barns personvern neglisjeres: Amazon fikk bot for å lagre taledata gjennom Alexa og klokker som primært brukes av barn. TikTok fikk bot for ikke å ha godt nok personvern for mindreårige. I Norge har strømming av barneidrett vært en het potet.

Trender i 2024

Direktør i Teknologirådet, Tore Tennøe, gikk gjennom noen trender og forsøkte å se inn i personvernets umiddelbare fremtid. Det knyttes blant annet stor interesse til bruken av ansiktsgjenkjenningsteknologi i tiden fremover, som for eksempel under OL i Paris. Skal man kunne gjenkjenne ansikter, eller bare posisjoner og mistenkelige objekter? Diskusjonen aktualiserer etterretningsbehov mot retten til privatliv.

AI Act er nylig vedtatt, og blir et avgjørende rammeverk for utviklingen av KI fremover, også med hensyn til bruken av biometri, som i ansikts- og følelsesgjenkjenningsteknologi.

2024 markerer antakeligvis begynnelsen på slutten på den opprinnelige overvåkingsteknologien – informasjonskapselen. Google vil kutte det ut i sin nettleser Chrome i løpet av 2024.

Nysgjerrig på å se dypere inn i spåkula? Se opptaket! (link nederst i dette blogginnlegget).

Kan man trene språkmodeller med data fra nettet?

I utviklingen av Open AI ble det brukt enorme mengder data fra en stor variasjon av kilder. Selskapet er sparsomme med å fortelle hvor de har hentet data fra. Tore viste imidlertid en analyse av et snapshot som viste kilder som sosiale medier, nettsider, elektroniske bøker, et valgregister og personlige blogger. Både Google og Open AI har fått søksmål mot seg grunnet denne typen praksis.

Det sentrale i en personvernsammenheng er at man må ha et lovlig behandlingsgrunnlag for å kunne behandle personopplysninger. Vi diskuterte behandlingsgrunnlaget «berettiget interesse», og i hvilken grad dette kan brukes til å innhente data. Det er flere saker knyttet til dette i Europa nå.

Behandlingsgrunnlag er altså nøkkelen, også til andre modeller innen ulike domener som for eksempel finans, utdanning og helse. Dataene får stadig nye formål, og utfordrer eksempelvis både pasientenes og de ansattes rett til personvern. Her er det noen utfordringer. Skal man spørre om samtykke igjen? Hva gjør man med de som sier nei? Bør man heller anonymisere eller bruke syntetiske data?

Kunstig intelligens og personvern i den virkelige verden

Eivind Arntsen er advokat og leder av Juridisk ABC, en tjeneste basert på generativ KI som skal gjøre det enklere for arbeidsgivere å manøvrere riktig innenfor arbeidsrett. De ønsker å tilpasse tjenesten med å gi den tilgang til dommer og lovtekst, noe som utgjør deres primære utfordring. Juridisk ABC er for øvrig ett av fire prosjekter i Datatilsynets regulatoriske sandkasse våren 2024.

Umair M. Imam er sjef for data og KI i Ruter, og har erfaring med å bruke KI i et titalls prosjekter i Ruter. De bruker for eksempel generativ KI for å analysere klager. Brukere deler ofte data om seg selv i disse klagene, noe Ruter løser ved hjelp av en algoritme som «gjemmer» persondataene.

Julie Lødrup er førstesekretær i LO, og benyttet anledningen til å løfte frem prinsippet om arbeidstakeres rett til medbestemmelse. Den fungerer stort sett godt på alle felt i det norske arbeidslivet, unntatt ett: digitalisering. Hun mener dette skyldes at både arbeidsgivere og arbeidstakere anser teknologi generelt, og kanskje KI spesielt, som noe vanskelig og som kun angår teknologene. De som skal bruke teknologien bør involveres. Hun fremhevet også utfordringen med at teknologien som anskaffes ofte er laget i land med andre arbeidsmodeller som ikke er like opptatt av arbeideres rettigheter. Om programvaren har funksjonalitet som gjør det mulig å overvåke de ansatte, kan det være lett for arbeidsgiver å la seg friste.

Er politikken tilpasset terrenget?

På fjorårets personverndag ble en nasjonal personvernpolitikk diskutert, og i år fulgte vi opp med siste status i politikken. I løpet av sommeren 2024 skal en ny digitaliseringsstrategi og en ny personvernstrategi være ferdig, og de to skal henge tett sammen, fortalte statssekretær Gunn Karin Gjul (Ap). For å unngå at denne politikken ender opp med kun strategier og lite handling, ønsker Grunde Almeland (V) en mer demokratisk forankret stortingsmelding på temaet.   

En annen stor sak er KI-forordningen (AI Act), som vil treffe stortinget gjennom lovgivning. Gjul orienterte om at dette er EØS-relevant, og at myndighetene er i gang med dette arbeidet allerede. Det er ikke bestemt hvordan dette skal organiseres, og Digitaliserings- og forvaltningsdepartementet har gitt DFØ i oppdrag å utrede mulige organisatoriske systemer som algoritmetilsyn, overordnet tilsyn og rapporteringsordninger.

Avslutningsvis spurte Tore, på vegne av en venn, om det er greit å ha en KI-kjæreste. Panelet var enige om at det måtte være opp til den enkelte, men med ett premiss: at leverandøren av KI-kjæresten opererer innenfor loven. Og det skal vi hjelpe dem med, rundet Line av med. 

Se opptak av hele arrangementet på Datatilsynets nettsider.

Personvern er en individfokusert rettighet. Personvernforordningen gir enkeltindivider rettigheter og pålegger virksomheter plikter for å møte disse. Den regulerer maktforholdet mellom staten og private selskaper på den ene siden og enkeltindividet på den andre.

Samtidig er personvern en kollektiv verdi. Selv om Margaret Thatcher i sin tid insisterte på at det ikke fantes noe samfunn, vil de fleste være enige i at hvor gode og frie liv vi kan leve avhenger av samfunnsstrukturene vi inngår i. Graden av den enkeltes frihet er uløselig forbundet med hvor fritt samfunnet vårt er.

Å kun forstå personvern som et individuelt anliggende støter også på problemer i vår stadig mer sammenkoblede verden. Min Facebook-aktivitet sier ikke bare noe om meg, men også mitt nettverk. En gentest avslører ikke bare mine, men også min families gener.

Personvernkommisjonen peker helt korrekt på at det er «et grunnleggende problem at det er vanskelig å ta stilling til konsekvenser av egne handlinger som rammer et abstrakt kollektiv, eller som bidrar til skadevirkninger for andre en gang i fremtiden».

Det er mulig å sammenligne denne samfunnsutfordringen med klimaendringer. Mange små, individuelle valg fører i sum til kollektiv skade.

Skandaler eller villet politikk?

Noen temaer kommer først på den politiske agendaen når det skjer en skandale. Bedre regler for sikkerhet på oljeplattformer kom kjapt på plass etter Alexander Kielland-katastrofen. Enron-skandalen bidro til strengere korrupsjonslovgivning. I Nederland kom personvern og algoritmekontroll på agendaen da skattemyndighetene feilaktig ba om tilbakebetaling av barnetrygd – basert på en skjev algoritme som profilerte minoriteter som svindlere. Skandalen resulterte i at regjerningen gikk av og at det har opprettet et algoritmetilsyn som ble lansert for et par uker siden.

Må det virkelig en skandale til for at vi får politisk styring av bruk av personopplysninger?

Jeg håper ikke det. Og her er det politikken kommer inn. Selv om de fleste vil mene at vi fremdeles ikke gjør nok for å møte klimaendringene, har vi, nasjonalt og internasjonalt, forhandlet frem avtaler og reguleringer (altså politikk!) for å skape endring. Det samme må skje på personvernfeltet. Vi trenger en personvernpolitikk. «Demokratisk og regulatorisk kontroll over hvordan personopplysninger samles inn og brukes», som kommisjonen skriver.

Politikk er altså et demokratisk samfunns svar på en utfordring. Bevisstheten rundt utfordringene knyttet til digitale samfunns bruk og misbruk av personopplysninger har økt jevnt og trutt de siste årene. Tiden er overmoden for handling.

Et startskudd for en nasjonal personvernpolitikk

Kommisjonens rapport er startskuddet vi behøver for en politikkutforming. Det er viktig at personvern er et tema også utenfor ekspertsirklene og at beslutningstakere tar ansvar. Personvern må på agendaen i kommunestyrer, i komiteer og ledergrupper og på Stortinget. Store og viktige spørsmål bør stå på agendaen: Hvordan påvirker bruk av personopplysninger demokratiet vårt? Hvordan kan vi få til en digitalisering som skjer i tråd med grunnleggende menneskerettigheter? Hva er det nasjonale handlingsrommet for politikkutforming på personvernområdet?

Vi bør, som samfunn, ha som ambisjon å løfte frem personvern som et selvstendig politikkområde uten at det skal komme som et resultat av en skandale.

Forrige fredag ble disse og flere andre spørsmål diskutert da Datatilsynet og Teknologirådet arrangerte Personverndagen 2023. Opptak fra arrangementet ligger i artikkelen. Vi håper at diskusjonene fortsetter i andre kanaler, blant annet i vår kommende podcastserie dedikert til personvernpolitikk og andre tema fra Personvernkommisjonens rapport.

Gratulerer med dagen alle sammen, og hjertelig velkommen til årets personvernkonferanse. For første, og forhåpentligvis siste gang, holdes konferansen utelukkende digitalt. Men vi vet at mange sitter klistret foran skjermen med popcorn, cola og jeg har hørt rykter om strikketøy, og det er vi veldig glade for.

Det spørsmålet jeg skal forsøke å besvare, er om digital smittesporing er den første store testen på effekten av personvernforordningen. Og like viktig, om personvernverdiene står seg under press. Dette spørsmålet kan selvsagt ikke besvares med «ja» eller «nei». Særlig i den tiden vi nå lever i, kan svært få spørsmål besvares så enkelt. Til det er usikkerheten for stor.

Smittestopp og personvern

Men det er en del – la oss kalle det signaler, som i hvert fall trekker i retning av at svaret er «ja». Jeg skal ikke bruke tid på å snakke om de juridiske sidene av Smittestopp-saken, men si litt om hva vi kan trekke ut av prosessen i Norge og i andre land. Jeg vil også se på hva vi kan trekke ut av reaksjonene som kom fra politisk hold, teknologimiljøene, organisasjoner og norske borgere.

Vi så tidlig at myndigheter i mange land rullet ut egenutviklede løsninger som senere måtte trekkes tilbake av personverngrunner. Det som skjedde med Smittestopp i Norge var derfor ikke unikt – i motsetning til det som kanskje har festet seg som et inntrykk. Men den norske løsningen var blant de mest inngripende.

I en krisesituasjon vil mange bytte litt frihet med trygghet. Vi må også et stykke på vei akseptere en slik byttehandel.

I Storbritannia kom myndighetene for eksempel med en egenutviklet app (NHS Covid-19), basert på bluetooth og sentral lagring. De måtte trekke den tilbake på grunn av kritikk (blant annet problemer med Apples bluetooth-begrensninger) og manglende effekt. De gikk etterhvert over til Google/Apple-løsningen.

I Tyskland lanserte myndighetene en egenutviklet app (CoronaWarn) basert på bluetooth og sentral lagring. Den måtte også trekkes tilbake på grunn av kritikk (blant annet problemer med Apples bluetooth-begrensninger) og manglende effekt, og gikk over til Google/Apple. Forskjellen mellom Storbritannia og Tyskland er at Tyskland snudde seg raskt.

Vi kan kanskje nevne Danmark, som ventet med å utvikle appen. Hvorfor? Det kan ha å gjøre med at de ventet til de var trygge på løsningen, fra et sikkerhets- og personvernperspektiv.

I Norge kjenner vi historien. FHI måtte trekke tilbake appen på grunn av et vedtak fra oss.

En test av personvernlovgivningen

Et delsvar på spørsmålet mitt er altså at myndigheter i flere europeiske land ble tvunget til å utvikle mer personvernvennlige løsninger som følge av kritikk. Det vitner om en personvernlovgivning som tåler å testes i krevende situasjoner. Selv om det vi i Datatilsynet har stått i ikke kan sammenlignes med det helsemyndighetene har stått i, skal det ikke stikkes under en stol at det å behandle saker knyttet til smittesporing har vært krevende.

I en krisesituasjon vil mange bytte litt frihet med trygghet. Vi må også et stykke på vei akseptere en slik byttehandel. Derfor er det ekstra interessant, i lys av temaet for dette foredraget, å se nærmere på de reaksjonene Smittestopp-saken utløste.

Og ettersom det tross alt er personverndagen i dag (vår egen dag!) er jeg navlebeskuende nok til å begynne med oss selv. Den dagen Smittestopp-prosjektet ble lansert, sa jeg i Dagsnytt 18: «en smitteapp kan, i en krisetid, være et akseptabelt tiltak for å slå tilbake pandemien og redde liv».

I nettmeldingen vi sendte ut 27. mars skrev vi:

«Vi etterlater oss en lang rekke digitale spor hver dag, og i motsetning til ved tidligere pandemier, har vi nå mulighet til å bruke disse dataene til å kartlegge smittespredning og varsle befolkningen på nye måter. Det er viktig å benytte seg av slike muligheter, men vi har ikke tidligere vurdert hvor langt vi kan gå i å tillate at personverndata blir brukt til slike formål i en krisesituasjon».

Personvernrådet (en sammenslutning av alle datatilsynsmyndighetene i EU- og EØS-området) uttalte at personvernforordningen «ikke er til hinder for tiltak som kan bekjempe koronavirus-epidemien». Rådet understrekte samtidig at myndighetene må beskytte borgernes grunnleggende rettigheter selv om det er mulig for medlemsstatene å innføre lovgivningstiltak for å ivareta offentlig sikkerhet.

Personvernrådet fortsetter slik: «Denne typen lovgivning er kun lovlig dersom det utgjør et nødvendig, egnet og forholdsmessig tiltak i et demokratisk samfunn».

Og som en parentes, før vi går videre: Disse verdiene speiler innholdet i EMK artikkel 8, som fastslår retten til privatliv. 

Har bestått testen

De signalene personvernmyndighetene ga, er viktig i en vurdering av om forordningen har bestått testen. Fordi vi anerkjente bruken av teknologi for å bekjempe pandemien, og fordi sluttresultatet er en smittesporingsapp som er akseptabel fra et personvernståsted.

La oss så se på reaksjonene fra andre grupper i samfunnet.

Teknomiljøet var raskt ute. I dette miljøet har vi selvsagt en del personvernere, men det slo oss at bredden i kritikken var stor. Det gikk ikke på digital smittesporing som sådan, men på teknologivalg og sikkerhet, og omfanget av inngrepet overfor den enkelte. Det ble laget et opprop, en sjeldenhet generelt, og kanskje i teknologimiljøet spesielt, og viser tydelig at engasjementet for personvern er betydelig.

Også folk flest viste stor interesse. Uten å lage noe stort nummer ut av det – men jeg får jo en del e-post fra folk som har meninger om det vi gjør – smittestopp engasjerte voldsomt, og det i begge retninger. Vi mottok også formelle klager fra norske borgere. Saken ble heftig debattert, var i Dagsnytt 18 flere ganger, samt i andre nyhetssendinger. Saken gikk også sine svært aktive runder på Twitter og andre sosiale nettsamfunn, og ble også omtalt internasjonalt.

Det er også verdt å merke seg at Stortinget vedtok å dele smittestopp i to: én for smittesporing og én for modellering av smittespredning, forskning og eventuelt andre formål. Og til slutt: Amnesty kom på banen med en rangering av ulike smitteapper, i et menneskerettighetsperspektiv.

Alt dette trekker etter min mening i retning av at personvernforordningen, og verdiene den beskytter, har blitt testet, og bestått. Grunnen er denne:

Det som har engasjert borgere og forbrukere, teknologimiljøet, politikere og organisasjoner, er at Smittestopp utfordret noen viktige prinsipper i personvernregelverket. Stortinget var opptatt av formålsprinsippet. Sikkerhet og teknologivalg, og viktige prinsipper som dataminimering og skikkelige konsekvensvurderinger, var særlig viktig hos teknologimiljøet. Amnesty var opptatt av koblingen mellom personvern og menneskerettigheter som kommer fra samme verdigrunnlag. Norske borgere var i stor grad opptatt av det som er kjernen i personvernet, her uttrykt på en folkelig måte: Frihet fra urettmessig overvåking.

Er vi avhengige av Silicon Valley?

Det er imidlertid noen tankekors som ikke bare handler om forordningen, men også om teknologiutvikling, og kanskje også forretningsmodeller. Det er Google og Apple sine roller.

Dagens Smittestopp er langt mer personvernvennlig enn den første. Den er like fullt bygget på infrastrukturen der i hvert fall ett av selskapene er sterkt kritisert for sin holdning til personvern, og nå har flere store saker mot seg fra personvernmyndigheter. Er det uproblematisk at myndigheter i demokratiske stater er avhengige av Silicon Valley for å levere viktige tjenester til innbyggerne? Dette er et godt tema for diskusjonen senere.

Takk for oppmerksomheten!

Datatilsynet og Teknologirådet markerte også i år den internasjonale personverndagen den 28. januar med et åpent møte – denne gangen på nett. Les mer om arrangementet og se opptak

Denne bloggen står som kronikk i Aftenposten på den internasjonale personverndagen 28. januar.

I dag markeres den internasjonale personverndagen over hele verden. I 2019 har Datatilsynet mottatt over 100 saker hvor barns personvern har blitt skadelidende på grunn av tekniske mangler eller menneskelige feil i en stadig mer digitalisert skolehverdag. Flere av sakene har vært bredt omtalt i media, og en av dem har ført til stor politisk turbulens i Bergen. Våre første og største overtredelsesgebyr etter innføringen av nytt personvernregelverk har gått til kommuner som har sviktet i å beskytte skoleelevers personopplysninger. Det finnes to hovedutfordringer som deles av så nært som alle norske kommuner:

1. Skolenes digitale kompetanse har ikke holdt tritt med digitaliseringstempoet

2. Norske kommuner er ofte ikke i stand til å beskytte sine mest sårbare innbyggeres personvern godt nok

Vi trenger et felles, nasjonalt løft for å lukke gapet mellom kompetansen i norske kommuner og kravene som stilles i en digital skolesektor.

Kommunen er alene

Det kommunale selvstyret står sterkt i Norge. På skolefeltet innebærer det at avtaler om hvilke digitale løsninger som tas i bruk for læring, kommunikasjon og elevvurdering i stor grad forhandles frem i hver enkelt kommune. Videre er hver kommune selv ansvarlig for å gjøre risikoanalyser og vurdere personvernkonsekvenser av verktøy som kjøpes inn, i henhold til regelverket. Dette er ikke en enkel oppgave. Likevel er det ingen vei utenom. Kommuneledelsen kan ikke velge å ikke ta i bruk digitale verktøy, og plikter å gjøre det på en måte som sikrer sine innbyggeres rettigheter og friheter. Denne kombinasjonen av digitaliseringspress og kompetansemangel fører til saker som den mye omtalte skoleapp-saken, der en familie med sterkt beskyttelsesbehov plutselig får sine nye navn og hemmelige adresse eksponert overfor en voldelig ekssamboer.

Det kan synes som en gordisk knute. Digitaliseringstoget har forlatt perrongen og norske kommuner løper etter som best de kan.

Vi må anerkjenne at det digitale økosystemet er for komplisert og krevende å navigere i for den enkelte kommune. Det nye personvernregelverket stiller strenge krav til digitale løsninger som skal behandle personopplysninger, fordi vi har fått en bredere forståelse av hvilken makt som ligger i utstrakt datahøsting. Barn har i tillegg et særskilt vern. Å løfte digitaliseringsarbeidet som i dag gjøres i den enkelte kommune opp på nasjonalt nivå, kan bidra til en mer robust og strømlinjeformet prosess som hadde gagnet alle kommuner.

Store kommuner må dra de små med seg

Det finnes flere kommuner som har bygget imponerende digitale løsninger for skolen, basert på et grundig strategiarbeid. Det er gjerne store kommuner med høykompetente juss- og IKT-avdelinger. Vi bør utforme ordninger som gir disse bjellesauene insentiver til å aktivt dele sine løsninger med andre kommuner uten de samme musklene. Hvor ansvaret for en slik nasjonal strategi for et kommunalt kompetanseløft skal ligge, er en viktig diskusjon som vi nylig reiste på en rundebordskonferanse.

Kommunene trenger hjelp til å nå igjen digitaliseringstoget, og det haster. Datatilsynet har gjennomført en undersøkelse, hvor vi blant annet har spurt om tilliten til at ulike virksomheter er i stand til å beskytte våre personopplysninger.  Tallene viser at tilliten til skoler og barnehager er mye lavere enn til de fleste andre offentlige virksomheter. Med tanke på hvor sensitive opplysninger skolen har ansvar for, er det lave tillittsnivået dypt bekymringsverdig.

Den norske Google-skolen

De fleste sakene vi har behandlet gjelder brudd på informasjonssikkerheten. Samtidig ser vi at flere kommuner inngår avtaler om levering av digitale læringsverktøy med selskaper som har omfattende datainnsamling som forretningsmodell. Google har etter hvert mange av Norges kommuner på kundelisten for levering av digitale skoleløsninger.

De store amerikanske teknologiselskapenes inntreden i skolesektoren er i liten grad problematisert og diskutert i den norske offentligheten. Google har på få år bygget seg opp til å bli et av verdens aller mest verdifulle selskap ved hjelp av intensiv datainnsamling.

Når en norsk kommune inngår en avtale med Google inkluderer den som regel maskinvare, operativsystem, applikasjoner, programmer, e-post og skylagring. Disse verktøyene tilbys til en relativt rimelig penge. Skolepakkene Google tilbyr tilrettelegger for innsamling av enhetsinformasjon, loggopplysninger, handlingsmønstre, lokasjonsdata, IP-adresse og telefonnummer. Vi vet ikke hva som skjer med disse profilene når barna går ut av skolen og leverer fra seg utstyret. En viktig oppgave for Datatilsynet blir å undersøke lovligheten av denne bruken. Vår undersøkelse viser også en sterk motstand mot å slippe til selskaper som tjener penger på datahøsting inn i skolesektoren.

Vi trenger en nasjonal løsning

Det varierende kompetansenivået i norske kommuner gjør at store, globale aktører i stor grad kan sette premissene for hvordan skolen utformes. I forhandlinger med Google, Apple og Microsoft må det stilles tydelige krav til hvordan læringsmidlene fungerer, og kommunene må ha en reell forståelse av hvilke forretningsmodeller løsningene hviler på. Det er et tungt ansvar som hviler på hver enkelt kommune. Foreldre kan i liten grad motsette seg løsningene som velges, og kommunene tar viktige valg på vegne av en sårbar gruppe.

Skole-Norge navigerer i et komplekst farvann. Det er viktig at kommunene tilfredsstiller kravene til en moderne og fremtidsrettet skole. Samtidig må de sørge for at de ivaretar rettighetene til en sårbar gruppe, nedfelt i et omfattende og til dels krevende lovverk. For å minske sannsynligheten for at barn blir skadelidende som følge av digitaliseringstempoet i skolen, bør vi søke en nasjonal løsning på en utfordring som norske kommuner i dag står alene om å møte.

En tannbørste var blant stjernene på elektronikk-messen CES i Las Vegas nylig. Når du pusser tennene, sender sensorer data til den innbygde algoritmen: hvor, hvor lenge og hvor ofte du pusser. Over tid lærer tannbørsten deg å kjenne og sender deg tips til hvordan du kan forbedre munnhygienen.

Om en intelligent tannbørste får deg til å himle med øynene eller måpe av begeistring, er den uansett et typisk uttrykk for tiden vi er inne i. Tingene vi omgir oss med er ikke lenger livløse objekter – de tegner et digitalt bilde av våre liv. Tingene skal gi oss en digital merverdi. da må de også registrere data om hvordan vi bruker dem. For produsenten ligger ikke nødvendigvis verdien i tannbørsten som selges, men i data som samles inn når vi bruker den.

Ikke overraskende kobler forsikringsbransjen seg på. Det amerikanske firmaet Beam Dental har allerede utviklet tannhelseforsikring hvor kundene sender tannbørste-data. I retur får de mer persontilpassede, og muligens billigere forsikring.

FaceBank

Et revidert EU-direktiv om betalingstjenester trer i kraft i 2018. Da vil selskap utenfor banksektoren, med forbrukerens samtykke, kunne bygge tjenester på toppen av bankenes data og infrastruktur. I nær fremtid vil du altså kunne bruke Facebook eller Google til å betale dine regninger, mens du fortsatt har pengene trygt plassert i banken. Facebook har allerede fått tildelt lisens for å levere betalingstjenester.

Hvordan skal banker og forsikringsselskaper kunne levere bedre og mer persontilpassede tjenester enn internettgiganter som kjenner oss i detalj og har tilgang på verdens fremste kunstig intelligens?

Skattefuten blir en algoritme

Mulighetene i teknologien begrenser seg ikke til privat sektor. Regjeringen har en uttalt ambisjon om en døgnåpen forvaltning med automatisert saksbehandling. Stadig flere oppgaver og avgjørelser kan flyttes fra menneske til maskin.

Mulighetene er mange og Skatteetaten er allerede i gang. De har utviklet en prediksjonsmodell med 30 variabler, som de bruker i dag for å rangere en persons risiko for feil i selvangivelsen. Med tilfeldige stikkprøver ville de funnet feil i 17 prosent av selvangivelsene. Men denne metoden avdekket feil i hele 71 prosent.

Samtidig erkjente Skatteetaten i fjor at de ikke helt forstod hvorfor enkelte skatteytere hadde lav eller høy risiko for feil. Her kommer en ny utfordring: intelligente systemer kan gi stor gevinst, men jo mer avanserte algoritmene er, jo vanskeligere kan det være å få oversikt og forklaring.

Når vi overlater stadig mer til maskinene, er det da viktig å spørre om vi klarer å beholde tilliten tjenestene er helt avhengige av. Dersom vi ikke lenger kan forklare hvordan og hvorfor en beslutning er tatt, blir algoritmene «svarte bokser» som i stedet skjuler vurderingene, usikkerhetene og valgene beslutningen hviler på.

Rett til en forklaring

Staten har et klarspråk-program, men mange etater sliter fortsatt med å gi folk flest gode forklaringer ved hjelp av de alfabetets 29 bokstaver. Da kan man tenke seg hvordan det blir når forklaringen skal gis på grunnlag av avanserte algoritmer.

Men verken banker, forsikringsselskaper eller offentlige etater kan leve med et slikt forklaringsproblem. EUs personvernforordning, som trer i kraft i Norge i 2018, sikrer innbyggerne en rett til en forklaring. Blir saken din behandlet av en maskin, har du krav på en forklaring du forstår. Både om hvordan vurderingen er gjort, og hvilke opplysninger som inngår i beslutningen.

Det kan bli krevende å forklare hvordan mange hundre opplysninger blir brukt til å treffe en beslutning. Men gjort på riktig måte, kan personvern og åpenhet om algoritmene bli en konkurransefordel i privat sektor. Det bygger tillit hos forbrukeren og gir også en anledning til å skille seg fra aktørene som driver nærgående analyser av deg, uten at du får vite hvordan algoritmen fungerer. Her må Datatilsynet gå i dialog med bransjen og utvikle ny metodikk for å føre tilsyn med algoritmer.

For offentlige etater er ikke tillit et konkurransefortrinn, men en nødvendighet. Derfor er det presserende at folk får en forklaring hvis datamaskinen skal ta beslutningene. Da er det ikke nødvendigvis den mest intelligente løsningen som er den beste.

Innlegget er skrevet i samarbeid med Tore Tennøe, direktør i Teknologirådet, og publisert som kronikk i Dagens Næringsliv i anledning personverndagen 30. januar 2017.

Mer om personverndagen 2017

Tilpasset reklame? Nei, takk

Det store flertallet i vår undersøkelse vil nemlig ikke ha tilpasset reklame. Tre av fire nordmenn legger merke til at reklamen vi får servert på skjermen har direkte forbindelse med søk, nettsidebesøk eller annen aktivitet på nettet. Omtrent like mange foretrekker tilfeldig reklame, mens en fjerdedel fore­trekker tilpasset reklame.

Spørsmålet lød slik: «Gratis nettjenester som nettaviser og sosiale medier finansierer virksomheten ved å vise brukerne reklame. Noen av disse analyserer brukernes personopplysninger for å kunne tilby reklame som er individuelt tilpasset nettopp deg. Hvis du kunne velge, vil du ha reklame som er tilpasset deg eller standard reklame som vises tilfeldig?»

Utviklingen går i retning av stadig mer personalisering av reklame ettersom markedsførere får mer kunnskap om det enkelte individ. Målet er relevans og treffsikkerhet. Mer relevant reklame kan høres ut som en utvikling som er i forbrukerens interesse, og det kan være lett å ta markedsetterspørsel som uttrykk for et generelt behov. Men som respondentenes svar viser må den retningen som utviklingen tar ikke forveksles med enkeltmenneskenes ønsker: Det er bare et mindretall som helst vil ha tilpasset reklame.

En undersøkelse fra Telenor i 2015 viste også svært lav villighet til å dele personopplysninger for å få tilpasset reklame. Delingsviljen er høyere for andre formål, som personalisert service, personaliserte apper eller internettjenester. I den norske delen av utvalget var kun 15 prosent villige til å dele personopplysninger for å få personalisert reklame.

Vil folk heller betale med penger?

Sett at inntektene til tilbyderne av gratistjenester som e-post og sosiale nettsamfunn ikke ble hentet inn gjennom tilpasset reklame. Ville vi da vært villige til å betale for dem av egen lomme i stedet?

Vi spurte om folk var villige til å betale for en nettjeneste de brukte ofte og som i dag er gratis (Facebook, Gmail, Hotmail og så videre), for å unngå at tjenesten analyserer personopplysninger for å gi tilpasset reklame. I første omgang var spørsmålet prinsipielt, vi spurte altså ikke i første omgang om hva de var villige etter å betale, men etter den prinsipielle betalingsvilligheten.

Omtrent halvparten svarer at de ikke ville betalt, mens en av fem svarer at de ville ha betalt. Vi skal også merke oss at «vet ikke»-gruppen er uvanlig stor i dette spørsmålet. Hele 28 prosent er usikre på om de er villige til å betale eller ikke.

De er ikke mange, men det er interessant at en liten gruppe er villige til å betale for å slippe personlig reklame. Hvorfor ville de gjort det, og hvor mye er de villige til å betale?

Hvor mye er du villig til å betale?

De som var villige til å betale, fikk et oppfølgingsspørsmål om hvor mye de var villige til å betale per måned. Facebook tjente rundt seks kroner måneden på et europeisk medlem i 2014. Sammenliknet med Facebooks reklamebaserte inntekter, svarte respondentene overraskende raust. Det hyppigst valgte svaret var 50 kroner i måneden, med 100 kroner som nest mest valgt. Gjennomsnittet ligger på hele 74 kroner, men er noe preget av de få som svarte et høyt tall. Tre av fem (58 prosent) svarte et tall fra ti kroner til og med 50 kroner i måneden.

Viktigste grunn til å betale

Vi ønsket å vite hva som var hovedgrunnen bak villigheten til å betale. Var det for å bli kvitt reklamen, eller var det for å unngå innsamling og bruk av deres personopplysninger? De betalingsvillige fikk derfor tilleggsspørsmålet «Hva er viktigste årsak til at du er villig til å betale?»

Respondentene er tydelige på at det i første rekke er hensynet til eget personvern som er årsaken til at de vil betale. 84 prosent oppgir dette som den viktigste årsaken. Det er altså ikke det å slippe reklame, men det å beskytte personopplysningene sine som er hovedgrunnen til betalingsvilligheten hos denne gruppen.

Les om flere tall fra undersøkelsen og om hvordan man kan beskytte seg mot sporing på nett i vår rapport fra personverndagen som er et samarbeid med Teknologirådet.

Datatilsynet fikk i november 2015 hjelp av Opinion AS til å gjennomføre en nettundersøkelse med 1014 respondenter.

Vi var nysgjerrige på svaret og spurte folk gjennom en webundersøkelse. Vi bad respondentene ta stilling til utsagnet «Jeg syns det er ubehagelig at nettaktører samler og analyserer personopplysningene mine, og deler disse med andre selskap, for å vise meg tilpasset reklame.»

79 prosent sier seg svært eller litt enige i at nettaktørenes innsamling, analyse og deling av personopplysninger for kommersielle formål, er ubehagelig. At hele 56 prosent sa seg svært enig, viser en sterk tilslutning til dette. Til sammenlikning er kun seks prosent svært uenig i at de synes det er ube­hagelig.

Svarene i undersøkelsen viser tydelige tegn til ubehag forbundet med at personopplysninger blir brukt for å tilpasse reklame. En EU-undersøkelse fra 2015, med respondenter fra alle medlemsland, peker i samme retning. Over halvparten var ikke komfortable med nettsiders bruk av informasjon om deres nettaktivitet for å tilpasse reklame eller innhold etter deres hobbyer og interesser.

Hvorfor bruke gratistjenester tross ubehag?

Samtidig som om lag åtte av ti sier seg enig i at nettaktørenes analyse og deling av personopplysninger for å gi tilpasset reklame er ubehagelig, bruker nær sagt alle gratistjenester på internett. Dette kan være e-posttjenester eller sosiale medier som ofte bringer med seg en omfattende kommersiell utnyttelse av personopplysninger. Det er et paradoks. Det finnes et misforhold mellom det ubehaget som folk føler på den ene siden, og hvordan de opptrer i praksis på den andre. Hva er forklaringen på at gratistjenestene brukes så flittig, selv om folk er ukomfortable med hvordan personopplysningene deres blir brukt?

De respondentene som bekreftet at de brukte av en eller flere gratistjenester opplistet i undersøkelsen, og i tillegg bekreftet et ubehag knyttet til tjenesters analyse av deres personopplysninger, fikk følgende spørsmål:

«Du nevnte tidligere at du synes det er ubehagelig at nettaktører samler og analyserer dine personopplysninger. Hvorfor benytter du gratistjenester som analyserer personopplysningene dine hvis du føler et ubehag knyttet til dette?»

Respondentene ble bedt om å velge mellom forskjellige utsagn etter hva som passet best for dem. Nedenfor er svarene rangert etter hva som oftest ble valgt.

De tre mest valgte grunnene til at folk bruker gratistjenester selv om de føler ube­hag ved dette, utgjør en «vrangside» av personvernet. Mens et godt person­vern tuftes på bevisste brukervalg, informasjon og reell valgfrihet, oppgir respon­dentene at deres valg preges av lite valgfrihet, lite informasjon og lite bevisste valg.

Svarene må leses som at viktige pilarer i personvernet er under press i møte med den kommersielle utnyttelsen av personopplysninger som skjer på nett i dag.

Personopplysninger mot gratistjenester har ikke karakter av et lykkelig bytteforhold, sett fra enkeltmenneskets side. Forholdet mangler åpenhet, og nettbrukere kjenner ubehag ved deres bidrag til forholdet, nemlig egne personopplysninger.

Det er imidlertid ikke bare å gå. Folk ser ikke alternativer. Hva kan den enkelte da gjøre, når det er ikke noe reelt alternativ å gå av nett?

Les om flere tall fra undersøkelsen og om hvordan man kan beskytte seg mot sporing på nett i vår rapport fra personverndagen som er et samarbeid med Teknologirådet.

Datatilsynet fikk i november 2015 hjelp av Opinion AS til å gjennomføre en nettundersøkelse med 1014 respondenter.

Også denne gang har vi slått oss sammen med Teknologirådet for å skape en skikkelig markering når vi inviterer til et frokostseminar på Litteraturhuset i Oslo mellom klokken 09.00 og 11.00.

Lokalet blir med sine 231 påmeldte deltakere ganske så fullstappet, så vi tør ikke si ja til at flere kan møte opp der. Du som ikke fikk meldt deg på i tide kan likevel følge seminaret direkte over nettet om du klikker deg inn på våre nettsider fra klokken ni. Her vil du senere også finne et opptak fra seansen.

Men hva er så temaene for Personverndagen 2015?

Har barn samme rett til personvern som voksne?
Ett av hovedtemaene i årets rapport er barn og unges personvern. Digitaliseringen av skolen gjør at det samles inn stadig flere og mer dyptgående opplysninger om barna våre. Dette er nyttig, men hvor skal grensa gå for at nok er nok, selv om nytteverdien for læring kan hevdes å være betydelig? Er det OK at mor eller far i skjul tar en kikk på podens profil på sosiale medier for å følge med på hva han gjør der, og hva slags venner han har? Og er det akseptabelt at foreldre utstyrer barna sine med sporingsbrikker, slik at de kan følge med på hvor de er til enhver tid? Vi har stilt noen spørsmål om hva folk flest mener om disse spørsmålene, og har fått svar som vi gleder oss til å presentere.

Når tingene vi omgir oss med begynner å snakke sammen
Et annet tema vi vier mye oppmerksomhet i årets rapport er noe alle teknologiinteresserte snakker om for tiden, ikke uten grunn. Har du ikke hørt om «tingenes internett» før, så kan du like godt lære begrepet nå! Helt vanlige ting vi omgir oss med i hjemmet, i bilen, eller på kroppen, utstyres med sensorer som koples til internett. Tingene tilpasser seg din og min adferd. Ikke bare kan dette gjøre livet mer bekvemmelig og behagelig for den enkelte av oss, men vi kan også oppnå betydelige samfunnsmessige gevinster, i form av mer effektivitet, et bedre miljø og mer sikkerhet. Men vil de enorme mengdene av data som samles inn om oss via alle disse sensorene også kunne bli brukt mot meg og mine interesser? Og det uten at jeg har den fjerneste anelse om at det faktisk skjer?

Og Snowden er ikke glemt
På fjorårets seminar var Edward Snowdens avsløringer av den amerikanske masseovervåkingen det temaet vi viet aller mest tid til. Han er dessverre forhindret fra å besøke oss på konferansen, og vi har heller ikke rigget nettmøte med ham. Vi avgrenser oss derfor denne gangen til å ta en rask oppsummering av hva som har skjedd det siste året. Har Snowdens gjerninger hatt noen praktisk betydning for oss og vårt personvern, også her i Norge? Ja, mener vi, og det skal vi underbygge nærmere!

Etter at Tore Tennøe, direktøren i Teknologirådet, og jeg har presentert disse tre temaene, legger vi opp til en paneldebatt med:

• Bård Vegar Solhjell, stortingsrepresentant for SV, og tidligere kunnskapsminister.
• Heidi Nordby Lunde, stortingsrepresentant for Høyre, men også kjent som bloggeren Vampus,
• Kai Morten Terning, statssekretær i Barne-, likestillings-, og inkluderingsdepartementet, FrP. Han har blant annet tidligere også vært byrådssekretær for velferd og sosiale tjenester i Oslo.
• Jan Holm, administrerende direktør i Lyse Smart, blant annet kjent for sine velferdsteknologiprodukter.

På vegne av Teknologirådet og Datatilsynet ønsker vi deg hjertelig velkommen til å delta på den internasjonale personverndagen! Enten møter vi deg som påmeldt deltaker på seminaret, eller så kan du følge med via nett.

• Rapporten Personvern: Tilstand og trender 2015 (pdf) kan lastes ned her

Gratulerer med Personverndagen 2015!