Forslaget om et nasjonalt individregister for barn dreier seg ikke om små, tilforlatelige endringer av barnehageloven, opplæringsloven og privatskoleloven. Det handler om opprettelsen av store, inngripende individdataregistre som både utfordrer det grunnlovfestede vernet av barns personlige integritet og personvernet som demokratisk samfunnsverdi, skriver Camilla Nervik og Geir Røsvoll.

Regjeringen har nå lagt frem en lovproposisjon for å kunne registrere en mengde personopplysninger om alle barn og unge i Norge. Opplysningene skal kunne kobles med annen informasjon om barna og deres familier. Lovendringene gir dermed staten mulighet til å overvåke oss alle gjennom livet – fra vugge til grav.

Registreringen av personopplysningene vil skje uten at noen skal bes om samtykke, eller få mulighet til å reservere seg. At den enkelte ikke skal gis mulighet til selv å bestemme over egne personopplysninger, begrunnes med en risiko for at registrene da ikke vil oppfylle sin hensikt. Det anføres at den enkeltes valgfrihet vil medføre skjevrepresentasjon, og at dette særlig vil gå utover de sårbare barna som ofte er underrepresentert i forskning basert på utvalgsundersøkelser. Med dette som bakteppe hevder ulike statlige aktører, som Kunnskapsdepartementet, Barne- og familiedepartementet og Barneombudet, at opprettelsen av de foreslåtte individregistrene er helt nødvendige og til «barnets beste». 

Utdanningsforbundet og Datatilsynet mener at de foreslåtte registrenes påståtte nytteverdi mangler en overbevisende underbygning. Vi undres: Hvor ble det av vurderingene av barnas personvern? Er det ikke til barnets beste at deres lovfestede rett til vern om sin personlige integritet ivaretas?

«Barnets beste» er ikke et argument i seg selv

Det er ikke mer enn tre år siden personvernkommisjonen poengterte følgende:

«Hva som vil være til beste for det enkelte barn i en konkret situasjon, beror på en individuell og konkret vurdering.»

Det samme uttrykker FNs barnekomité i sin generelle kommentar til barnekonvensjonens artikkel 3 om barnets rett til at hans eller hennes beste skal være et grunnleggende hensyn.

Kunnskapen de foreslåtte individregistrene angivelig vil gi oss, rommer ikke den faktiske konteksten det enkelte barn inngår i. Den gir ikke svar på hvilke grunner barnet har for å gjøre som det gjør, eller hvorfor deres liv – både i og utenfor barnehagen og skolen – tar den retningen det tar. Å påstå at opprettelsen av individregistrene er til barnets beste, er med andre ord direkte misvisende.

Det holder altså ikke bare å påstå at registerdata er til barnets beste, ved å hevde at individregistrene «fremmer barns beste generelt» og vil «være til barns beste på et overordnet nivå», slik Kunnskapsdepartementet har gjort i sitt høringsnotat.

«Barnets beste» er ikke et argument i seg selv. 

Kunnskapsmangel er ikke problemet

Det er vanskelig å se hvordan inngrepene den enkelte må tåle, vil gi direkte verdi tilbake til den som «betaler kostnaden» i form av svekket personvern. Det hevdes at kunnskapsgrunnlaget fra individregistrene skal bidra til utviklingen av bedre skoler og barnehager, men det er uklart hva som egentlig skal endres og forbedres i praksis.

Forskning på registerdata frembringer gjennomsnittskunnskap om grupper av mennesker som deler noen bestemte kjennetegn. Denne typen kunnskap virker sikkert verdifull for den offentlige forvaltningen, men vi mener det er for enkelt å konkludere med at kunnskapen dermed er til barnets beste.

For lærerne i landets barnehager og skoler, er slik gjennomsnittskunnskap til liten nytte i møte med helt unike mennesker. Det er ikke primært individdatabasert kunnskap barnehagene og skolene mangler for å kunne ivareta barnets beste, men at kunnskapen vi allerede har om det som står i veien for å oppfylle barnas rettigheter, omsettes til handling.

Det reelle personverntapet må trumfe usikre gevinstforhåpninger

Et grunnleggende personvernprinsipp, slik det går frem av den europeiske menneskerettskonvensjonens artikkel 8, er at ethvert inngrep i personvernet skal avveies mot nytteverdien og formålet som begrunner inngrepet. 

Det er ingen tvil om, og heller ingen som synes å være uenig i, at opprettelsen av individregistrene innebærer et rent faktisk inngrep i personvernet. Hver ny personopplysning som registreres, og hver kobling som gjøres med andre opplysninger, øker dette inngrepet. Samtidig er det heller usikkert om omfattende registrering av barns personopplysninger fra barnehage og skole, og koblingen av disse opp mot en mengde andre opplysninger, vil føre til at barnehage- og skoletilbudet blir bedre for den enkelte.

De som ønsker at individregistrene opprettes, setter med andre ord et reelt personverninngrep opp mot antakelser og forhåpninger om at registrene vil være til barns beste. Vi mener det reelle tapet av personvern må vurderes nøye, og at eventuelle positive gevinster må presenteres som mer enn en generell ønsketenkning.

Nå må Stortingets politikere være seg sitt ansvar bevisst

Snart skal Stortinget behandle regjeringens lovforslag. For oss er det viktig å understreke at dette ikke dreier seg om små, tilforlatelige endringer av barnehageloven, opplæringsloven og privatskoleloven. Det handler om opprettelsen av store, inngripende individdataregistre som både utfordrer det grunnlovfestede vernet av barns personlige integritet og personvernet som demokratisk samfunnsverdi.

Dette må i stor grad forstås som et samvittighetsspørsmål, og Datatilsynet og Utdanningsforbundet ønsker å minne landets stortingspolitikere om deres individuelle ansvar for å vurdere det reelle personverninngrepet som følger av registrene, og ber dem stille seg følgende spørsmål:

Kan lovforslagene virkelig sies å være til barnets beste, når det ikke tas hensyn til barnas grunnleggende personvernrettigheter? 

Yngve Milde og Elias Meling belyser en rekke utfordringer knyttet til datadeling i Norge i sitt innlegg i Digi.no. De peker blant annet på at en streng tolkning av personvernregler kan hindre effektiv datadeling, noe som igjen kan forsinke digitaliseringen av offentlige tjenester. De mener at Datatilsynet oppleves som «et organ som setter terskelen for akseptabel risiko så høyt at det for mange oppleves som nullrisiko».

Det er viktig å finne en balanse mellom personvern og behovet for datadeling. Datatilsynet har som oppgave å sikre at personvernlovgivningen etterleves, og dette er et regelverk med et klart handlingsrom og som absolutt ikke krever nullrisiko. Formålet med regelverket er å nettopp legge til rette for bruk og deling av data – innenfor trygge rammer.

Slik vi ser det er personvern ikke en hindring, men en ressurs for å sikre forsvarlig digitalisering. Datatilsynet jobber hver dag for at regelverket praktiseres på en måte som legger til rette for innovasjon og utvikling, innenfor de rammene loven gir.​ Vi har både prosjekter i den regulatoriske sandkassen og løpende veiledning som går helt i kjernen av dette. Hvert år har vi over 5000 veiledningssamtaler der vi gir råd i håndtering av regelverket. Vi kjenner oss derfor ikke igjen i Mildes og Melings påstander om at vi utelukkende hindrer datadeling og er ute etter nullrisiko-løsninger.

Vår visjon er at vi skal jobbe sammen for menneskeverd og tillit i det digitale Norge. I dette ligger det at også Datatilsynet skal være med på den utviklingen Norge og samfunnet må ha, for å løse tidens og fremtidens utfordringer. Vi er imidlertid ikke så opptatt av at Norge skal bli verdens mest digitaliserte land innen 2030 – vi vil heller at Norge skal bli verdens best digitaliserte land.

Vi ønsker derfor debatten om datadeling velkommen. Den er viktig for å komme videre, og skape en bedre gjensidig forståelse av utfordringene og hvordan vi skal nå målet. Verken forsiktighetskultur og nullrisiko eller for stor risikoappetitt er positivt. Flere faktorer spiller inn i mulighetsbildet: Både intern kultur, kompetanse, datakvalitet, tekniske løsninger og jussen kan legge begrensninger for datadeling. Det må også konkretiseres hvilke datakilder man ønsker å dele fra og mellom, for å gjøre gode vurderinger av behov, hindringer og løsninger. For å avklare faktiske hindringer trenger vi flere konkrete eksempler og en mer nyansert debatt om balansegangen mellom personvern og datadeling.

I samarbeid med Finanstilsynet utforsker vi nå fem sandkasseprosjekter innen finanssektoren, der målet er å bekjempe økonomisk kriminalitet gjennom trygg og lovlig datadeling. Vår erfaring viser at veiledning fungerer best når vi jobber med faktiske problemstillinger, hvor personvern er med fra start. Vi ønsker derfor at flere bransjer kommer sammen, identifiserer spesifikke utfordringer og tar dem opp med oss i Datatilsynet.

Ansvarlig datadeling er et av Datatilsynets hovedfokusområder. Vårt arbeid må alltid skje innenfor rammene av personvernforordningen (GDPR), som er et felles europeisk regelverk som Norge er forpliktet til å etterleve. Samtidig er det alltid et tolkningsrom i regelverk, og dette rommet er vi i Datatilsynet opptatt av å utforske. Rettsutvikling er imidlertid en prosess som tar tid – saker må behandles, eventuelt overprøves, og i noen tilfeller kan det være behov for nye lover eller forskrifter, noe som er lovgivers ansvar. Nødvendig og etterspurt rettsutvikling er også avhengig av saker som rommer problemstillinger hvor det er behov for endring.

For å sikre best mulig digitalisering i Norge må vi finne løsninger sammen. Vi inviterer derfor næringslivet, offentlig sektor og bransjeaktører til å delta i vår regulatoriske sandkasse og dialogbaserte veiledning. Vi ønsker saker om datadeling, slik at vi sammen kan finne måter å realisere digitaliseringsgevinster uten at personvernet svekkes. La oss ta debatten fra teori til praksis.

Overvåkingskameraer har gjennomgått en bemerkelsesverdig teknologisk utvikling de siste tiårene. Et av de viktigste fremskrittene er intelligent videoanalyse, der algoritmer analyserer og tolker videostrømmer, uten hjelp fra mennesker.

Teknologien kan utføre et mangfold av oppgaver. Alt fra enkle ting, som å detektere når en dør åpner seg, til mer inngripende former for overvåking, som involverer avansert analyse av ansikter og bevegelses- og atferdsmønstre.

Men er det mulig å bruke slik teknologi, som kan overvåke mennesker, og samtidig ivareta kravene i personvernregelverket? Dette var bakgrunnen for at Datatilsynet samarbeidet med sikkerhetsselskapet Doorkeeper i vår regulatoriske sandkasse.

Er det mulig med personvernvennlig overvåking?

I prosjektet utforsket vi mulighetene for å konfigurere intelligent videoanalyse slik at behandlingen av personopplysninger blir mindre inngripende. Doorkeepers løsning for å gjøre dette var blant annet å:

• Unngå kontinuerlig opptak av videostrømmen. Doorkeeper vil kun «aktivere» opptak når løsningen registrerer en forhåndsdefinert sikkerhetstrussel, for eksempel knusing av et butikkvindu. Dette vil gjøre at virksomheten ikke har løpende opptak av personer som ikke er relevante for hendelsen.
• Ansikter og menneskeformer sladdes i sanntid fra videostrømmen. Dette betyr at personene i videostrømmen ikke vil være direkte identifiserbare med mindre en uønsket hendelse oppstår.

Vi har også diskutert hvorvidt intelligent videoanalyse vil endre hvor det er lovlig å overvåke. Datatilsynets funn tyder på at dette i liten grad endres selv med kameraer som kan fjerne visse personopplysninger fra videostrømmen. For eksempel er det bare offentlige myndigheter som har lov til å overvåke offentlige steder. Dette endres ikke selv om private virksomheter tar i bruk mer «personvernvennlige» løsninger. 

Men et interessant unntak fra dette er når kameraet konfigureres som en sensor med formål om å detektere brann- og røykutvikling. I et hypotetisk tilfelle hvor et slikt kamera skal detektere brann på en kirkevegg, vil løsningen muligens oppfylle lovkravene hvis behandlingen av personopplysninger er svært begrenset og metoden er bedre egnet til å oppnå formålet enn andre mindre inngripende løsninger, som for eksempel en vanlig brannalarm.

Nye bruksområder for overvåkingskameraer

Til tross for at intelligente løsninger i liten grad endrer hvor det er mulig å sette opp et kamera, har mange sett nye bruksområder for teknologien. Ett eksempel på dette er bruken av «feberkameraer» under pandemien. Disse ble installert på sykehus og fotballstadioner for å analysere besøkendes temperaturer og oppdage mulige COVID-19-smittebærere.

I Europa har det også vært en opphetet debatt om intelligent overvåking på kollektivtransport. For eksempel da selskapet Eurostar implementerte intelligente løsninger på sine tog, for å analysere passasjerenes humør og ansiktstrekk. Formålet var å identifisere potensielle trusler mot andre passasjerer.

Personvernproblematikken ved disse eksemplene er todelte. I det konkrete tilfellet er det spørsmål om overvåkingen er forsvarlig, om den er for inngripende og om den oppfyller lovens krav. På et samfunnsnivå handler spørsmålet om den totale graden av kontroll og det voksende «overvåkingstrykket» som gjør at det er stadig færre steder vi kan bevege oss fritt uten å bli observert.

Sikkerhet, overvåking og personvern

Sikkerhet, overvåking og personvern kan være motstridende interesser. På den ene siden kan overvåking være nødvendig for å sikre både mennesker og materielle verdier. Men man har ofte sett at dette kan gå utover integriteten til enkeltpersoner og retten til et privatliv, ved uønsket overvåking i situasjoner man vil være i fred, eller ved misbruk av opplysninger fra videostrømmen.

Teknologi som markedsføres som «personvernvennlig» kan også gi en falsk følelse av trygghet. Som vi har drøftet i sandkasse-prosjektet, er det avgjørende at slik teknologi kommer sammen med konkrete tiltak som begrenser muligheten for brudd på personvern. Dette inkluderer å sørge for at personvern er standardinnstillingen i konfigurasjonen, å ivareta informasjonssikkerheten i alle ledd, og hindre at uvedkommende får tilgang til å se eller manipulere videostrømmen.

Falske positiver og bias i treningen

Et tilbakevendende problem med løsninger som bygger på kunstig intelligens, er falske positiver. Falske positiver kan føre til at behandlingen av personopplysninger blir mer omfattende enn det den ansvarlige virksomheten har lov til. I tilfellet av kameraovervåking for sikkerhetsformål kan det også ha seriøse negative konsekvenser for enkeltpersoner. For eksempel kan en person bli feilaktig beskyldt for handlinger de ikke har begått, eller at man – via biaser i dataene som systemet er trent på – blir profilert basert på hudfarge eller andre sensitive fysiske trekk.

I motsetning vil falske negativer kunne medføre at overvåkingen ikke oppfyller formålene den er ment eller trent å oppfylle. Enhver som benytter intelligent kameraovervåking må derfor følge med på eventuelle falske positiver og negativer, og kontinuerlig tilpasse løsningen slik at den fungerer etter hensikt.

Personvern er både et lovkrav og et konkurransefortrinn

For virksomheter som vil ta i bruk intelligent videoanalyse, vil et godt personvern være et helt klart konkurransefortrinn i markedet. Ved å vise at man tar personvern seriøst – og at man etterlever lovkravene – bygger man tillit hos virksomhetene som skal ta i bruk teknologien – samt ansatte, kunder og andre som er eksponert for overvåkingen.

(Denne kommentaren sto på trykk i april-utgaven av Computerworld.)

Data er makt, og noen har mer data enn andre. Med data kan man innovere og lage nyttige tjenester. Man kan også bruke data til å dominere konkurrenter og manipulere brukere. Det ene utelukker ikke det andre.

Tekgigantenes datadrevne, monopolliknende makt er skadelig for konkurranse, forbrukervern og personvern. Derfor har EU nå landet Digital Markets Act (DMA), en ny lov med plikter og begrensninger for de aller største internettplattformene. Loven skal forhindre skadelig, monopolistisk adferd før den skjer, der dagens regelverk i større grad griper inn når skaden først har skjedd.

Dessverre gjenstår mange problemer, og spørsmålet er om noen vil adressere dem.

God start

I oppmerksomhetsøkonomien handler det om å holde brukerne på plattformen sin lengst mulig. Da kan man nemlig samle inn mer personopplysninger for å gjøre plattformen mer engasjerende, slik at man får enda mer oppmerksomhet. Slik blir også den adferdsbaserte markedsføringen på plattformen mest mulig treffende og lukrativ.

Hva hvis det som engasjerer mest er polariserende eller voldelig innhold? Hva hvis politiske annonser utnytter svakheter hos mottakerne for å påvirke dem? Hva hvis utsatte grupper utelukkes fra informasjon? Dette er reelle utfordringer vi står ovenfor i dag. Personvern er ikke bare en individuell rettighet. Det er også en forutsetning for demokratiet.

Det spennende at DMA innebærer begrensninger for hvordan de aller største plattformene kan kombinere data fra ulike tjenester. Mange av oss tilbringer store deler av livet innenfor eksempelvis Meta eller Googles universer, og de kan til og med spore oss når vi bruker andre nettsider og apper. De kombinerte datasettene sier mye om livene våre.

Det kan imidlertid enkeltstående datasett også gjøre. Dessuten er det mange flere enn tekgigantene som vanner sine pengeplanter.

Trynefaktor?

Spørsmålet vi må stille oss, er om forretningsmodeller tuftet på overvåking er bærekraftige.

Mange steder på internett foregår det annonseauksjoner som avgjør hvilke budskap vi ser. I disse auksjonene er mange mindre aktører involvert, og de utveksler ofte personopplysninger i prosessen. Datasett kan kjøpes.

Med andre ord er det ikke bare tekgigantene som grafser til seg personopplysningene våre, som er en uatskillelig del av oss, for å potensielt bruke dem mot oss. Det er ikke bare big tech som gjør oss sårbare for manipulasjon og diskriminering.

Folk spør om man bør unngå russiske og kinesiske apper i fall myndighetene deres overvåker oss. Et større problem er at myndighetene kan få tilgang til de samme dataene på det åpne markedet. Sikkerhetsrisikoen er brennaktuell.

Derfor blir det feil å bare regulere noen aktører. Det blir feil å regulere enkelthandlinger når forretningsmodellene er problemet.

Et tu, Norvegia?

Her hjemme har man så vidt begynt å diskutere hvorvidt problemene bør reguleres. Mange sitter imidlertid på gjerdet. Noen har tatt til orde for at vi bare trenger vern av mindreårige.

Du får meg ikke til å tro at Ola (17) er mer sårbar på nett enn Olga (71).

Norge som verdibasert og digitalisert demokrati har en unik mulighet til å ta en aktiv posisjon i diskusjonene fremover. I det minste må vi løfte debatten her hjemme, og vi må utrede alternativer.

Å sitte inne mens hagen gror igjen av sitkagran er også et valg.

Personopplysninger har en stor økonomisk verdi, og det er nettopp slik Google og Facebook har vokst seg til å bli blant verdens største selskaper. Det finnes også tusenvis av små og ukjente selskaper som også tjener store penger på salg av personopplysninger. I praksis lønner det seg derfor å utfordre grensene for personvernet. Vi opplever at det er selskapene som opererer i de juridiske gråsonene – eller til og med bryter loven – som tjener mest penger.

Vi har allerede et godt personvernregelverk, GDPR. Problemet er at mange av selskapene det er snakk om har hovedsete utenfor Norge. Dette begrenser Datatilsynets mulighet til å håndheve reglene. Dessuten er reglene i GDPR veldig generelle og vagt formulert. Det betyr at det er rom for ulike tolkninger, og mange feiltolker nok reglene med vilje. I andre land ser vi at store personvernsaker ender opp med å gå frem og tilbake i domstolene i mange år nettopp på grunn av dette.

Det er de største, amerikanske virksomhetene som tjener på dette systemet fordi de sitter på mest data. Data gir makt i annonsemarkedet, og Facebook og Google opptrer nærmest som monopolister. Norske virksomheter som driver med markedsføring blir dermed avhengig av teknologigantene, og de tvinges til å akseptere forretningsmodeller og praksiser som de ikke ønsker. Dette vet vi både fra uavhengige undersøkelser samt tilbakemeldinger vi får som tilsynsmyndighet. Beskjeden fra norske virksomheter er at dagens system er konkurransehemmende, og at deres personvernvennlige innovasjon ikke klarer å konkurrere med overvåkingsbasert markedsføring.

I EU pågår det en diskusjon om hvordan man kan regulere dette økosystemet. Lovforslagene Digital Services Act og Digital Markets Act handler nettopp om hvordan vi kan fikse de digitale markedene som i dag ikke fungerer. Disse lovforslagene er nå til trilog-forhandling mellom EU-kommisjonen, EU-parlamentet og Rådet.

Flere har tatt til orde for at disse lovene trenger klare forbudsregler for å stoppe overvåkingsbasert markedsføring. Så langt har ikke dette forslaget vunnet gjennom i sin rene form. EU-parlamentet har imidlertid tatt til orde for forbud mot overvåkingsbasert markedsføring ovenfor barn samt forbud mot markedsføring basert på sensitive personopplysninger. Dette kan være små skritt i riktig retning, samtidig som vi dessverre ser at det ikke løser utfordringene vi har identifisert.

Dessuten møter selv disse forslagene motbør. Det er mange som sitter på gjerdet, og det er også intensiv lobbing fra de amerikanske selskapene som har alt å tjene på dagens system. Derfor er det usikkert i hvor stor grad reglene vil sette reelle begrensninger, samt hvem begrensningene vil gjelde.

I verste fall får vi et lovverk som bare pålegger nye informasjonserklæringer – som om vi ikke hadde nok av dem fra før. Akkurat nå er det derfor viktig å påvirke for å gjøre regelverket så godt som mulig og støtte forslagene som søker å beskytte internett-brukeres rettigheter, samt utfordre EU-lovgiverne til å tenke enda bredere og mer langsiktig og gå inn for et forbud mot overvåkingsbasert markedsføring.

Vi tror at hvis Norge melder seg på lovgivningsprosessen i EU og tar til orde for strengere regulering, kan det faktisk utgjøre en forskjell. Vi tenker at det er særlig viktig å jobbe for et forbud mot overvåkingsbasert markedsføring i Digital Services Act, fordi dette lovforslaget vil gjelde flere av aktørene med problematiske forretningspraksiser. Det er naturlig at Norge går foran for et ansvarlig næringsliv som respekterer menneskerettighetene og som er bærekraftig på sikt.

De enorme datamengdene handler om deg og meg

Nylig fikk jeg tilsendt en oppsummering av året 2021 fra Google Timeline. Her er min dagslogg fra 1. mars: Jeg dro hjemmefra kl. 06:58, tok en blodprøve kl. 07:50, var i Datatilsynets gamle kontor kl. 08:13, i våre nye lokaler kl. 08:45, handlet på Match kl. 17:03, Vitus Apotek kl. 17:18, og kom hjem kl. 18:15.

Kort sagt: Google visste alt jeg gjorde denne dagen.

Men Google er ikke alene om å samle data. I skolen samles det inn store mengder data om elevene. I helsesektoren ligger våre mest sensitive data lagret, og politiet og etterretningen har vide fullmakter til å samle inn data om oss vanlige borgere. Slik kunne jeg fortsatt, sektor for sektor. Denne enorme datamengden handler om deg og meg, om vanene våre, sykdommene våre, interessene våre, om hva vi spiser og når vi tar blodprøver, altså hvordan vi lever livene våre.

Noe måtte gjøres, og i 2018 kom nye regler fra Brussel.

GDPR og domstolsavgjørelser

Personvernforordningen GDPR var et tidsskille i personvernets historie. Nye plikter, høyere bøter, bedre samarbeid på tvers av land og bedre rettigheter, er noen stikkord. Plutselig handlet personvern om tillit, troverdighet, forretningsutvikling og respekt for personen bak opplysningene. Vi ser også at GDPR virker. Det er skrevet ut gebyrer på hundrevis av millioner mot selskaper som bryter regelverket. Virksomhetene plikter å melde brudd på personopplysningssikkerheten, og Datatilsynet mottok over 2 300 slike meldinger i fjor. Flere forbrukere klager inn til oss, og sakte, men sikkert, ser vi at personvernvurderingene i nye lovforslag blir bedre.

Også domstolene har spilt en viktig rolle. Sommeren 2020 ble avtalen om overføring av data til USA kjent ugyldig av EU-domstolen i Schrems II–dommen. Grunnen var at overvåkningslovene i USA er så omfattende at europeernes data ikke er trygge over dammen. Domstolen satte også ned foten for datalagringsdirektivet, og innførte også en rett til sletting av søketreff som ga et skjevt bilde av virkeligheten. Nylig kom et lovforslag som styrket barns rettigheter overfor foreldre som vil dele bilder av dem på nett.

Nå er selvsagt ikke utviklingen på lovgivningsfronten entydig positiv. Vi har fått en rekke nye overvåkningsbestemmelser de siste ti årene, blant annet er det innført dataavlesing og det er fremmet forslag om masseovervåking av vår internettbruk. Men det positive er at debatten om personvern nå favner bredt.

Nå taler Tekna, Advokatforeningen og andre personvernets sak. Advarslene mot et overvåkingssamfunn kommer også fra kanskje noe uventet hold. Riksadvokaten skrev i sin høringsuttalelse til e-lov: «For vidtgående kontrollregimer vil før eller siden utfordre det alminnelige publikums tillit til kontrollørene og de systemene de representerer».

Avhengighet av amerikanske selskaper

I 2010 dominerte energisektoren i oversikten over verdens mest verdifulle selskapet. Tolv år etter kjemper de amerikanske bigtech-selskapene Apple, Microsoft, Alphabet og Amazon om pallplassen. Da Schrems II–avgjørelsen kom, ble europeiske virksomheter grepet av panikk, og avslørte hvor totalt avhengig vi har gjort oss av de amerikanske gigantene. Det er trist at ikke europeiske bedrifter står klare til å ta de markedsposisjonene gigantene nå mister. Naivt? Ja, kanskje, men veldig overrasket kan næringslivet neppe ha blitt. 2013 var en oppvåkning for mange, da Edward Snowdon avslørte massiv overvåkning av europeiske borgere. Det er de samme overvåkningsprogrammene som gjorde at EU-domstolen satte foten ned for ukritisk overføring av data til USA. Her har noen sovet i timen.

Og hva med forbrukerne? Kan vi ikke la være å bruke Facebook og Google? Nei, de har blitt en sentral del av livene våre og gir oss underholdende og nyttige tjenester. Jeg kjører bil, selv om det forurenser, og bilturen til hytta er det mest risikable jeg gjør. Jeg drikker øl og vin, selv om det er helseskadelig. Men trafikk og alkohol er strengt regulert, for å gjøre faren og skaden minst mulig. Det er slik vi må tenke overfor bigtech også.

Personvern og sikkerhet

I januar 2021 ble Østre Toten kommune utsatt for et stort dataangrep. Personopplysninger ble dumpet på det mørke nettet. Opprydningsarbeidet har vært enormt ressurskrevende. Stortinget har blitt utsatt for to fiendtlige angrep. Nylig ble også Nortura og Amedia rammet. Hva kan vi lære av disse sakene, for å redusere sannsynligheten for at man selv blir rammet? Et stikkord er risikovurderinger, og at man tetter de hullene man finner slik at løsningene og infrastrukturen der personopplysningene behandler, blir mest mulig robuste.

I 2011 påpekte vi store svakheter med sikkerheten i Østre Toten kommune, men lite ble gjort. Stortinget hadde selv avdekket svakheter i egne løsninger, og hadde besluttet å innføre tofaktorautentisering, men hackerne slo til før det ble gjort.

Det er lett å være etterpåklok, men det er mange norske bedrifter som ikke tar datasikkerhet på tilstrekkelig alvor. Konsekvensene kan bli fatale.

Og hva nå?

Personvernet vil garantert forandre seg mye de neste ti årene. Politikerne må regulere teknologigigantene, og Norge må gå foran. Vi må tørre å si nei til overvåkningsbasert markedsføring. De kollektive konsekvensene av overvåkning og sporing må bli en like naturlig del av samtalen som de kollektive konsekvensene av global oppvarming.

Økt diskriminering og overvåking rammer ofte de svakeste og utsatte gruppene. Lovgiver må utrede konsekvenser for personvernet, ikke som en papirøvelse, men i erkjennelsen av at det å unnlate kan få store konsekvenser for borgerne.

Og til slutt: Vi må fortsette å snakke sammen, vi som skal håndheve regelverket og de som potensielt kan bryte det. Personvern og innovasjon må gå hånd i hånd. Datatilsynets regulatoriske sandkasse må få permanent finansiering, og kanskje kan vi sammen skape et nytt, personvernvennlig Google. På norsk.

Denne teksten ble først publisert i DN.

Den norske mediebransjen mobiliserer igjen for å stoppe innstramminger i regelverket for cookies og lignende sporingsteknologier. Denne gangen håper vi at regjeringen ikke lytter.

Bakgrunnen for det som utspiller seg i høringsrunden går nesten ti år tilbake i tid. Da skulle Norge forsøke å implementere et EU-direktiv som krevde at brukere måtte samtykke for at deres personopplysninger skulle bli samlet inn gjennom cookies og lignende teknologier som gir tilgang til informasjon som er lagret på mobil, datamaskin, nettbrett og lignende. Formålet var å gi internettbrukere i Norge bedre kontroll over sine personopplysninger, på samme måte som internettbrukere i resten av Europa.

Slik ble det ikke.

Etter sterk mobilisering fra mediebransjen og andre som driver innen digital markedsføring, valgte i stedet Samferdselsdepartementet i 2013 å åpne for at en forhåndsinnstilling i nettleser om at bruker aksepterer cookies kan anses som et samtykke.

Spor først, ikke spør etterpå

Hvis man ikke selv går inn og endrer de tekniske innstillingene i nettleseren eller mobilen, anses man altså for å ha samtykket til å kunne bli sporet på nett. Dette gjelder for eksempel hvilke sider man besøker, hvor lenge man er der og hva man gjør.

Hvordan dette kan kalles et samtykke i noen som helst form, er vanskelig å forstå. I stedet for å ta et aktivt valg om man ønsker å bli sporet eller ikke, blir man sporet fra første stund – spor først, ikke spør etterpå. Da forslaget kom, uttalte Datatilsynet at departementet hadde landet på den desidert dårligste løsningen. Norske brukeres personvern blir i realiteten avgjort av forhåndsinnstillinger som utformes av utenlandske teknologiselskaper slik som Google eller Apple.

Når det nå på nytt foreslås innstramminger i kravet til samtykke for bruk av cookies og lignende teknologier, har mediebransjen igjen mobilisert for å stoppe eller trenere endringene. Mediebedriftenes Landsforening (MBL) har levert en høringsuttalelse som støttes av bransjens store aktører. Her bes det om at de foreslåtte endringene ikke gjennomføres.

Begrunnelsen er ifølge MBL å opprettholde annonseinntektene for mediebransjen i møte med store teknologiselskaper som Facebook og Google, slik at de kan finansiere journalistikken som tjener en viktig samfunnsrolle i et demokrati. Dersom kravet til samtykke til cookies og andre identifikatorer strammes inn, mener MBL at dette vil kunne innebære en betydelig reduksjon i norske redaksjonelle mediers annonseinntekter.

Det er fritt vilt

Datatilsynet har selvfølgelig forståelse for hvor viktig de redaksjonelle medienes samfunnsrolle er. Reglene som nå foreslås innført i Norge er imidlertid regler som redaksjonelle medier i øvrige europeiske land har måtte forholde seg til i nesten 10 år.

At noe må gjøres med teknologigigantene, er vi heller ikke uenig med dem i. Men det er ikke det dette forslaget handler om. Dette forslaget handler om å verne om internettbrukeres grunnleggende menneskerett til personvern, og retten til å bestemme over egne personopplysninger.

Dagens særnorske og personvernfiendtlige cookie-regelverk gjelder ikke bare for norske medier. Dette regelverket gjelder på samme måte for Google, Facebook og alle andre som benytter cookies eller lignende sporingsteknologier på internettbrukere i Norge. Det er fritt vilt.

Det Datatilsynet og Forbrukertilsynet ber om, er at norske internettbrukere skal ha samme mulighet som andre i Europa til å velge om de vil gi sine personopplysninger til kompliserte annonsenettverk bak kulissene, og som vanlige brukere gjerne ikke har forutsetning for å forstå hvordan opererer.

Dersom endringer i cookie-regelverket skal gjennomføres, mener MBL at bruk av cookies som finansierer av redaksjonelle medier må falle inn under et eksisterende unntak fra samtykkekravet for cookies eller lignende teknologi som er «nødvendig» for å levere en nettjeneste som brukeren uttrykkelig har bedt om.

Datatilsynet er også forundret over timingen

Etter vårt syn er det ingen holdepunkter for en slik forståelse i dagens regelverk. Dette unntaket skal tolkes strengt, og unntaket gjelder for eksempel de tilfellene hvor nettsiden trenger å huske hva du har lagt i handlekurven i en nettbutikk. Spranget er stort fra en bruker som behøver at nettsiden husker varen i handlekurven til massiv innsamling av personopplysninger for å målrette markedsføring mot hver enkelt bruker.

At mediebedrifter skal gis en særlig tillatelse til å fortsette den nåværende praksisen på bekostning av norske brukeres rett til selvbestemmelse over egne personopplysninger, vil vi advare mot. Dersom argumentet mot at man må be om samtykke er at brukere ikke sier «ja», så mener vi man har misforstått poenget med å be om samtykke og hvorfor disse innstrammingene foreslås.

Samtykke er ingen perfekt løsning, men per i dag finnes det ingen gode alternativer. Samtykkebokser kan også designes på måter hvor man ivaretar personvernet, og gir brukerne et reelt valg. MBLs argument om at det må være anledning til å stenge ute brukere som sier «nei» til cookies fra en nettside, er stikk i strid med det felles standpunktet til datatilsynsmyndighetene i Europa. En slik praksis på redaksjonelle mediers nettsider vil også kunne gå ut over folks mulighet til å delta i samfunnsdebatten.

Et gjennomgående poeng i høringsuttalen til MBL er at det er uheldig å endre den norske regelen nå, mens det jobbes med en ny kommunikasjonsvernforordning for EU. Avslutningsvis i et intervju med Kampanje uttaler styreleder i MBL, Pål Nedregotten, at han er «forundret over timingen».

Datatilsynet er også forundret over timingen.

Vi er forundret over at disse endringene ikke kom i 2013 da kravet til samtykke til cookies ble strammet inn i resten EU og EØS. Arbeidet i EU med kommunikasjonsvernforordningen har tatt svært lang tid, og ennå vet ingen når denne kommer. Å gjennomføre innstramminger i cookie-regelverket er på overtid, og personvernet til norske internettbrukere kan ikke vente lenger.

Det regner vi med at regjeringen ser.

Denne kommentaren ble først publisert i Kampanje (10.11.21), og er skrevet av Kristian Bygnes og Anders S. Obrestad. Begge jobber som juridiske rådgivere i Datatilsynet.

Datatilsynet har besluttet å ikke opprette en egen side på Facebook fordi usikkerheten til hvordan Facebook bruker disse dataene er for stor. I et innlegg den 13. oktober uttrykker Facebook overraskelse over at de ikke fikk bidra inn i vår vurdering og komme med utfyllende informasjon.

Her vil jeg forklare hvorfor vi både sa nei til Facebook, og til dialog under arbeidet vårt.

Facebook vet det meste om brukerne. De kjenner våre vaner, politiske oppfatning og hva vi spiser til middag. Med en Facebook-side ville vi bidratt til å fôre Facebook med informasjon om de som besøkte siden vår. Et «liker»-trykk på en artikkel der vi uttrykte skepsis til et nytt overvåkningstiltak, ville blitt en del av brukerens digitale tvilling på Facebook. Vi stilte oss dette spørsmålet: Kan vi forklare besøkende på vår side hva Facebook brukte opplysningene deres til? Svaret på spørsmålet er ganske enkelt nei. Vi ville heller ikke klart å oppfylle vilkårene i personvernforordningen om å ha kontroll på dataflyten.

Burde vi hatt dialog med Facebook som del av vår vurdering? For oss var det viktig å gjennomføre vurderingen som en hvilken som helst annen virksomhet. Vi tok samme utgangspunkt som en liten kommune, eller nettbutikken Garn & Tråd. Vi ønsket ikke særbehandling. Men Facebook er en lukket bok. De deltar sjelden i den offentlig debatten, inngår ikke særavtaler med enkeltvirksomheter, og opererer etter prinsippet «aksepter vilkårene, eller kom deg ut».

Facebook påpeker at de gir brukerne kontroll over eget innhold. Som alltid sier de at de ikke «selger personlig identifiserte data til tredjepartsaktører». Nei, Facebook vil helst ha dataene selv – men de tar betalt for at andre kan utnytte dem. Om min profil har navnet mitt øverst, er irrelevant. En analyse av min profil viser at Skeid er mitt favorittlag, og at jeg har en Maine Coon-katt. Det er mulig jeg tar feil, men jeg er trolig den eneste i verden som har disse to interessene. To opplysninger er altså nok til å identifisere hvem jeg er, selv uten navnet mitt som identifikator. I gjennomsnitt kan 68 registrerte «liker»-klikk fra en Facebook-bruker forutsi hudfargen deres med 95 % sikkerhet, og deres oppgitte seksuelle legning med 88 % sikkerhet.

Å fortsette å skjule seg bak frasen om at Facebook ikke selger data, er meningsløs.

Når det gjelder de andre tiltakene de ramser opp, er det snakk om hvordan brukerne kan kontrollere og få tilgang til egne data – men bare til en viss grad. Vurderingen vår er imidlertid mye videre. Vår konklusjon er at vi ikke vet hva Facebook bruker dataene til. Her er selskapet veldig vagt, og sier på sedvanlig vis at de etterlever regelverket, og at de har gjort alle sine avtaler tilgjengelig.

I vår vurdering har vi også lagt betydelig vekt på at vår tilstedeværelse på Facebook kan bidra til å legitimere lovligheten av Facebook. Omdømme har også vært sentralt. Facebook var dypt involvert i Cambridge Analytica-skandalen, og nylig sto en varsler fram og fortalte om svært kritikkverdige forhold i selskapet. Uten å ta stilling til riktigheten i sistnevnte påstander, er jeg glad for at Datatilsynet i dag ikke har en Facebook-side.

Facebook har nå vist en åpen linje ved å ty til noe så sjeldent som å skrive en kronikk. Jeg håper de fortsetter å vise samme åpenhet og svarer på disse spørsmålene:

– Hva bruker Facebook dataene som samles inn via en Facebook-side til? Hvordan profileres for eksempel ungdom som trykker «liker» på Helse Norges side der unge kan bestille kondomer?

– Helt konkret: Hvordan gir Facebook forståelig og meningsfull informasjon om hvordan disse opplysningene brukes?

– Hvordan vil Facebook bidra til at norske virksomheter kan oppfylle kravene i regelverket om å forstå og beskrive behandlingen?

– Hvordan er kravet om innebygd personvern ivaretatt av Facebook?

Vi møter gjerne Facebook til diskusjon. Vi vil stille dem spørsmålene over. Men mange vil ha betydelig interesse for svaret, som jeg håper de offentliggjør.

En rekordstor GDPR-bot fra Luxembourg illustrerer dilemmaet: Trår man feil, kan behandling av personopplysninger gi muligheter på kort sikt og utfordringer på lang sikt. Her er noen råd på veien.

Stemningen var neppe god hos Amazons advokater da de mottok det luxembourgske datatilsynets seneste avgjørelse – også rett før sommerferien, da! Tilsynsmyndigheten mener at Amazons bruk av personopplysninger i markedsføring strider mot Europas personvernregler, GDPR, og at et overtredelsesgebyr stort 746 millioner euro er en passende straff.

Som Vanebo påpeker, har det luxembourgske datatilsynet taushetsplikt om Amazon-saken frem til den er avgjort i rettssystemet. Siden Datatilsynet i Norge er part i saken som berørt tilsynsmyndighet, er vi også tilbakeholdne med å kommentere. Vi kan imidlertid si dette: Hvis Amazon hadde fulgt rådene nedenfor, hadde nok ting gått annerledes. Selv i en tid hvor datatilsynsmyndighetene skjerper håndhevingen, finnes det grep man kan ta for å unngå å havne i tilsynsmyndighetenes søkelys.

Fornøyde forbrukere får velge

Mange GDPR-klager gjelder manglende valgfrihet. Ikke sjeldent definerer virksomheter hva kundene ønsker at personopplysningene deres skal brukes til – uten å spørre kundene, og gjerne i strid med empiri. For eksempel har flere virksomheter sagt at kundene ønsker målrettet markedsføring, selv om Datatilsynets siste personvernundersøkelse viser det stikk motsatte.

Noen ganger gir virksomhetene valgfrihet på papiret, men gjemmer valgene såpass godt at de fleste gir opp underveis. For hvert ekstra klikk man må gjennom for å si nei, desto mindre frivillig er valget.

Én ting er at slike praksiser kan medføre smekk på fingrene fra tilsynsmyndighetene. En annen ting er at det frustrerer eksisterende kunder og skremmer bort nye. Personvernundersøkelsen vår viste for eksempel at halvparten av oss har unngått å gjennomføre et kjøp i en nettbutikk fordi vi ikke stoler på hvordan nettbutikken behandler personopplysningene våre. Dette er et godt eksempel på samspillet mellom personvern og god forretning.

De gode forventningene

Et annet og beslektet element, som stadig oftere legges vekt på i europeisk tilsynspraksis, er kundenes berettigede forventninger til behandling av personopplysninger. For eksempel vil kunder ofte forvente – og forutsette – at opplysninger de legger igjen hos en virksomhet de stoler på, ikke deles fritt med utenforstående. Og nei, her kan man ikke gjemme seg bak kryptiske formuleringer om datadeling i lange personvernerklæringer som de aller fleste ikke leser.

På et mer overordnet nivå kan vi si at kunder som legger igjen data hos en virksomhet, forventer at dataene ikke skal brukes mot deres interesser. De færreste har interesse av å miste kontrollen over egne personopplysninger eller at personopplysningene skal brukes til å prakke på en ting man ikke vil ha. Dessverre er det ofte nettopp dette som skjer – og det er derfor Datatilsynet mottar klager.

Bærekraftig datainnovasjon

Løsningen er neppe å slutte å bruke data – og det finnes tross alt mange tilfeller der vi forventer og har glede av at personopplysningene våre behandles. Spørsmålet er i stedet hvordan vi kan bruke data riktig. Data bør jobbe for kundene, ikke imot – og det bør i størst mulig grad være opp til kundene å bestemme hva de vil. Fornøyde kunder blir værende, og de klager ikke til tilsynsmyndighetene.

Dette er åpenbart lettere sagt enn gjort. Samtidig kan man nok si at virksomheter som innoverer databruken i denne retningen, har det lengste tidsperspektivet. Vi vet ikke hva fremtiden bringer, men vi vet at bærekraftig databruk har de beste forutsetningene for å møte den.

Les innlegget på digi.no

Norge går nå inn i en intens valgkampperiode fram mot valget 13. september. Datatilsynet har derfor sendt et brev til alle de politiske partiene som sitter på Stortinget, med råd om hvordan de skal behandle personopplysninger i valgkamp.

Åpent brev til de politiske partiene

Målet med brevet er å gi veiledning om hvordan de politiske partiene kan ta personvernhensyn, spesielt med tanke på profilering av velgere og målretting av politiske budskap på digitale plattformer.

Les brevet som ble sendt til de politiske partiene i sin helhet (pdf)

Målretting av politiske budskap er ikke nødvendigvis ulovlig eller problematisk. Regelverket setter imidlertid klare krav til at det skal gjøres på en måte som ivaretar den enkeltes personvern. Dette gjelder ikke bare politiske partier, men alle som annonserer på sosiale medier og andre digitale plattformer.

I rapporten «På parti med teknologien» kartla Datatilsynet hvordan politiske partier målretter budskap mot velgere. Dette gjøres blant annet ved annonsering på digitale plattformer, og i form av direkte velgerkontakt ved husbesøk og ringekampanjer. Ett av funnene var at norske partier var varsomme i bruken av mikromålretting av politiske budskap. Samtidig ga mange av partiene uttrykk for at de stoler på at tjenestene, appene og verktøyene de bruker, er i tråd med personvernregelverket. De gjør derfor ikke egne vurderinger. 

Mange digitale plattformer (slik som Facebook og Google) tilbyr attraktive måter å nå velgere på. Det er imidlertid partiene selv som er ansvarlige for å ivareta personvernet til dem man vil nå frem til.

Datatilsynets råd ved målretting av politiske budskap

Datatilsynet erfarer at alle partiene benytter sosiale medier i en eller annen form i valgkampen. Dette innebærer behandling av store mengder personopplysninger. Vi har derfor gitt følgende råd til de politiske partiene:

• Bli kjent med personvernprinsippene: All behandling av personopplysninger skal skje i tråd med personvernprinsippene. Dette betyr blant annet at behandlingen må være lovlig, rettferdig og gjennomsiktig.
• Vær åpen om hvordan personopplysninger blir brukt: Gi god informasjon om hvilke opplysninger som samles inn, hvor opplysningene er samlet inn fra, til hvilke formål de ersamlet inn og hvem (hvilke tredjeparter) som har tilgang til informasjonen. Målretting av politiske budskap uten informasjon om hvilke opplysninger som ligger til grunn for målrettingen kan være ulovlig.
• Vær bevisst på hvilke typer opplysninger som behandles: Politiske oppfatninger er definert som en «særlig kategori» av personopplysninger i personopplysningsloven. Det er i utgangspunktet forbudt å bruke slike opplysninger uten gyldig samtykke. Dette gjelder også profilering og analyser knyttet til hva individuelle velgere sannsynligvis vil stemme. Dette betyr at informasjon må generaliseres og ikke rettes mot enkeltpersoner.
• Begrens innsamling og bruk av personopplysninger til det som er nødvendig for å nå formålet: Ikke samle inn flere opplysninger om gruppen som skal nås enn det som er nødvendig for å målrette budskapet.
• Vær obs på hva slags informasjon som samles inn ved for eksempel husbesøk eller ringeaksjoner: Det bør ikke registreres personopplysninger om velgere partiene har vært i kontakt med uten informert samtykke eller annet rettslig grunnlag. Digitale verktøy som brukes i forbindelse med husbesøk og ringeaksjoner, kan for eksempel ha fritekstfelt hvor valgkampmedarbeidere registrerer mer informasjon enn det er rettslig grunnlag for å behandle.
• Ha oversikt over hvilke opplysninger som samles inn på nettsidene: Rydd i hvilke informasjonskapsler (cookies) som er installert på nettsidene. Slett de som ikke er nødvendige. Informasjonskapsler som ikke brukes aktivt, kan likevel videresende informasjon om nettsidens brukere til for eksempel Facebook og Google.
• Ha kontroll på tredjeparter: Lag databehandleravtaler når tredjeparter behandler persondata på partienes vegne. Dette vil tydeliggjøre ansvarsforholdet når politiske partier kjøper tjenester fra eksterne leverandører.
• Personvernombud: Datatilsynet oppfordrer også partiene til å opprette personvernombud. Et ombud er en ressursperson som kan styrke partiets kompetanse om personvern og gi råd, både med tanke på valgkampen og all annen behandling av personopplysninger.

Hva skjer i Europa?

Det europeiske personvernrådet (European Data Protection Board) har også kommet med veiledning om målretting av budskap ved politiske valg. De mest relevante retningslinjene og uttalelsene om bruk av personopplysninger i politisk valgkamp er:

• Statement 2/2019 on the use of personal data in the course of political campaigns
• Guidelines 08/2020 on the targeting of social media users

Hovedbudskapet er at politiske partier må ha gyldig rettslig grunnlag for å målrette politisk reklame. De slår også fast at informasjon om en persons politiske ståsted i utgangspunktet er ulovlig å behandle, med mindre de kan vise til et unntak fra forbudet. Videre konstaterer rådet at det er høy risiko for at det blir behandle informasjon om en persons politiske ståsted hvis det benyttes digitale verktøy for å mikromålrette politiske budskap.