Barn skal aldri utsettes for ulovlig eller skadelig reklame gjennom skolens læremidler, skriver Tonje Brenna i replikken med tittel «Vi må styrke vår digitale trygghet» (henvist til over) til Kaja Hegg og Christian Falchs kronikk Reklameskoledagen. Brenna er ullen i sitt svar på hvordan regjeringen vil bidra nasjonalt. Igjen er det kommunenes selvstyre som skyves foran. Det er på tide at regjeringen viser muskler og tar ansvar for skolebarnas digitale hverdag. Barna våre har krav på beskyttelse.

Barn og unges skolehverdag er gjennomdigitalisert. Mange barn får utdelt hvert sitt læringsbrett allerede i første klasse. Brettet brukes flittig i både undervisning og oppfølging, og barna har tilgang til all verdens apper og programvarer. Det er ingen hemmelighet at det er de internasjonale teknologiselskapene som leverer flere av disse verktøyene. Skolene og kommunene har begrenset kompetanse og liten forhandlingsmakt når de inngår avtaler, og dermed liten påvirkning på innsamlingen av personopplysninger knyttet til verktøyene gjennom slike avtaler.

Skolen er et attraktivt marked for markedsførere, fordi det gir mulighet til å etablere tidlige forbrukerrelasjoner med elevene. Personvernkommisjonens rapport fremhever alvoret. Den beskriver en skolehverdag der barn fra tidlig alder blir eksponert for reklame, for eksempel for slankepiller. Brenna sier også selv at skjermbruk og digitale plattformer påvirker helse, læring, livskvalitet og oppvekst.

Hvorfor viser hun bare nok en gang til strategier og at de «arbeider med å se nærmere på problemstillingene rundt barn og unges skjermbruk» når det er nødvendig med øyeblikkelige tiltak?

Det kreves handling, ikke bare planer og utredninger. Kommunene er tydelige på at de selv ikke har kompetanse til å vurdere det digitale utstyret før det kjøpes inn og tas i bruk. Både kommunene selv, vi og mange andre – også Regjeringens egne ekspertutvalg – etterlyser en tydelig sentral styring på personvernarbeidet i skolesektoren. Det vet Brenna, og det er også nøye adressert i Personvernkommisjonens rapport.

En av anbefalingene i kommisjonens rapport er å vurdere å innføre annonseblokkeringsverktøy eller andre tiltak på elevenes utstyr for å redusere elevenes eksponering mot uønsket reklame. Dette er et enkelt grep som i tillegg vil kunne bidra til å redusere noe av sporingen av elevenes digitale aktivitet til kommersielle formål. Det nærmer seg nå et år siden denne anbefalingen ble gitt, uten at vi kan se at noe konkret har skjedd. Er det egentlig et valg om å ikke lytte til anbefalingen fra kommisjonen når vi ser hvordan barn og unges personvern i skolen er under press?

Vi mener sentrale aktører fra både offentlig og privat sektor, med kunnskapsminister Tonje Brenna i spissen, må gå sammen og handle. Norge trenger en nasjonal og handlekraftig personvernpolitikk med konkrete tiltak for å sikre reklamefri skole. Vi trenger den nå.

Innsamling av personopplysninger brukes i stor grad for å tilpasse innhold til den enkelte av oss på nettet. Internasjonale selskaper som Google, Facebook og Amazon lager målrettet og persontilpasset markedsføring basert på adferden vår på nettsteder og i apper. Profilene som lages om oss kan inkludere antagelser om kjønn, legning, helseopplysninger eller andre forhold. Muligheten til å kunne utfolde seg fritt og være seg selv, er en grunnleggende forutsetning for frihet. Et viktig premiss for denne friheten er en stat som anerkjenner hvert individs rettighet til å elske den man vil. Mangel på godt personvern kan legge begrensninger på denne friheten og true individets rettigheter.

Personvern betyr at den enkelte har en rett til å bestemme over personopplysningene sine. Det vil si alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Personvern har tett sammenheng med retten til privatliv. Med retten til privatliv har vi en rett til å leve slik vi selv ønsker – uten innblanding fra andre mennesker – så lenge vi ikke krenker andres friheter. Dette legger grunnlaget for å være fri til å være den vi er og å utfolde oss slik vi ønsker. Vi har alle en rett til å ha en privat sfære, et innerste rom hvor vi kan utvikle oss selv som mennesker. Vi trenger frihet og mulighet til å utforske, prøve og feile.

Retten til personvern er dessuten tett knyttet sammen med, og er en forutsetning for, utøvelsen av flere andre rettigheter og friheter. Det kan for eksempel være ytringsfrihet, foreningsfrihet og religionsfrihet. På denne måten er personvern også viktig for å sikre felles verdier og samfunnsengasjement i et demokratisk samfunn. Dersom personvernet er dårlig ivaretatt, kan det føre til at borgerne begrenser deltakelsen sin i meningsutvekslinger og politisk aktivitet. Et svakt personvern kan slik ha en nedkjølingseffekt på personers handlinger og deltakelse i samfunnet. Det setter demokratiet i fare.

For de fleste av oss vil det finnes opplysninger og informasjon om oss selv som vi ønsker å holde privat. Det betyr ikke at dette er opplysninger som bør hemmeligholdes. Poenget er at den enkelte selv skal kunne ha kontroll og bestemme hvilke opplysninger hen ønsker å dele med omverdenen. Du skal selv langt på vei kunne bestemme hvordan dine personopplysninger brukes, hvem du deler dem med, når du deler dem og på hvilken måte de deles. Personvern handler derfor ikke om hvorvidt du tenker at du har noe å skjule eller ikke, men om muligheten til å bestemme selv.

Mange deler informasjon om seg selv på sosiale medier. Det betyr likevel ikke at de deler alt om seg selv eller at de nødvendigvis ønsker at andre deler denne informasjonen videre. Kanskje er det enkelte ting de ønsker å fortelle vennene sine, men som de ikke vil dele med kolleger eller familie. Dette kan være spesielt krevende for mennesker som er utforskende rundt egen kjønnsidentitet og seksuell legning, og som bruker nettet til å finne svar på spørsmål eller komme i kontakt med likesinnede. Å kunne gjøre det uten frykt for at de skal bli overvåket eller at informasjonen blir delt med uønskede personer, er viktig.

Har du tenkt på hvorfor du og personen som sitter ved siden av deg på bussen får opp ulike annonser når dere åpner sosiale medier eller nettaviser? Overvåkingsbasert markedsføring betyr i mange tilfeller at det brukes algoritmer som er basert på kjønnsstereotyper eller rigide oppfatninger om hvilke interesser personer med en bestemt seksuell legning har. Algoritmene kan diskriminere slik at du for eksempel ikke blir presentert for informasjon som kunne vært relevant for deg, mens andre får se den. Kanskje går du glipp av et godt tilbud, en god artikkel, eller en stillingsutlysning du er interessert i, fordi algoritmene «tror» du er interessert i noe annet ut i fra det de er programmert til.

Opplysningene som samles inn om oss kan dessuten også brukes på en slik måte at informasjon om oss blir avslørt uten at vi selv har valgt å dele den. Store tek-selskap bruker personopplysninger til å beregne sannsynligheten for at du er interessert i et spesielt tema, hvilket kjønn du er eller hvilken legning du har. Denne informasjonen kan samles inn blant annet ved å se på hva du trykker «liker» på, hvilke nettsider du besøker, hvilke artikler du leser eller hvilke varer du kjøper. Vi mener det er grunnleggende viktig med en trygg digital hverdag hvor personvernet til den enkelte blir respektert og hvor vi har rom til å utvikle oss og utforske ulike sider ved oss selv, inkludert legning og kjønnsidentitet.

Til syvende og sist handler det om din frihet og din rett til å bestemme selv.

Denne kronikken ble først publisert i Dagsavisen 17. juni 2022.

De enorme datamengdene handler om deg og meg

Nylig fikk jeg tilsendt en oppsummering av året 2021 fra Google Timeline. Her er min dagslogg fra 1. mars: Jeg dro hjemmefra kl. 06:58, tok en blodprøve kl. 07:50, var i Datatilsynets gamle kontor kl. 08:13, i våre nye lokaler kl. 08:45, handlet på Match kl. 17:03, Vitus Apotek kl. 17:18, og kom hjem kl. 18:15.

Kort sagt: Google visste alt jeg gjorde denne dagen.

Men Google er ikke alene om å samle data. I skolen samles det inn store mengder data om elevene. I helsesektoren ligger våre mest sensitive data lagret, og politiet og etterretningen har vide fullmakter til å samle inn data om oss vanlige borgere. Slik kunne jeg fortsatt, sektor for sektor. Denne enorme datamengden handler om deg og meg, om vanene våre, sykdommene våre, interessene våre, om hva vi spiser og når vi tar blodprøver, altså hvordan vi lever livene våre.

Noe måtte gjøres, og i 2018 kom nye regler fra Brussel.

GDPR og domstolsavgjørelser

Personvernforordningen GDPR var et tidsskille i personvernets historie. Nye plikter, høyere bøter, bedre samarbeid på tvers av land og bedre rettigheter, er noen stikkord. Plutselig handlet personvern om tillit, troverdighet, forretningsutvikling og respekt for personen bak opplysningene. Vi ser også at GDPR virker. Det er skrevet ut gebyrer på hundrevis av millioner mot selskaper som bryter regelverket. Virksomhetene plikter å melde brudd på personopplysningssikkerheten, og Datatilsynet mottok over 2 300 slike meldinger i fjor. Flere forbrukere klager inn til oss, og sakte, men sikkert, ser vi at personvernvurderingene i nye lovforslag blir bedre.

Også domstolene har spilt en viktig rolle. Sommeren 2020 ble avtalen om overføring av data til USA kjent ugyldig av EU-domstolen i Schrems II–dommen. Grunnen var at overvåkningslovene i USA er så omfattende at europeernes data ikke er trygge over dammen. Domstolen satte også ned foten for datalagringsdirektivet, og innførte også en rett til sletting av søketreff som ga et skjevt bilde av virkeligheten. Nylig kom et lovforslag som styrket barns rettigheter overfor foreldre som vil dele bilder av dem på nett.

Nå er selvsagt ikke utviklingen på lovgivningsfronten entydig positiv. Vi har fått en rekke nye overvåkningsbestemmelser de siste ti årene, blant annet er det innført dataavlesing og det er fremmet forslag om masseovervåking av vår internettbruk. Men det positive er at debatten om personvern nå favner bredt.

Nå taler Tekna, Advokatforeningen og andre personvernets sak. Advarslene mot et overvåkingssamfunn kommer også fra kanskje noe uventet hold. Riksadvokaten skrev i sin høringsuttalelse til e-lov: «For vidtgående kontrollregimer vil før eller siden utfordre det alminnelige publikums tillit til kontrollørene og de systemene de representerer».

Avhengighet av amerikanske selskaper

I 2010 dominerte energisektoren i oversikten over verdens mest verdifulle selskapet. Tolv år etter kjemper de amerikanske bigtech-selskapene Apple, Microsoft, Alphabet og Amazon om pallplassen. Da Schrems II–avgjørelsen kom, ble europeiske virksomheter grepet av panikk, og avslørte hvor totalt avhengig vi har gjort oss av de amerikanske gigantene. Det er trist at ikke europeiske bedrifter står klare til å ta de markedsposisjonene gigantene nå mister. Naivt? Ja, kanskje, men veldig overrasket kan næringslivet neppe ha blitt. 2013 var en oppvåkning for mange, da Edward Snowdon avslørte massiv overvåkning av europeiske borgere. Det er de samme overvåkningsprogrammene som gjorde at EU-domstolen satte foten ned for ukritisk overføring av data til USA. Her har noen sovet i timen.

Og hva med forbrukerne? Kan vi ikke la være å bruke Facebook og Google? Nei, de har blitt en sentral del av livene våre og gir oss underholdende og nyttige tjenester. Jeg kjører bil, selv om det forurenser, og bilturen til hytta er det mest risikable jeg gjør. Jeg drikker øl og vin, selv om det er helseskadelig. Men trafikk og alkohol er strengt regulert, for å gjøre faren og skaden minst mulig. Det er slik vi må tenke overfor bigtech også.

Personvern og sikkerhet

I januar 2021 ble Østre Toten kommune utsatt for et stort dataangrep. Personopplysninger ble dumpet på det mørke nettet. Opprydningsarbeidet har vært enormt ressurskrevende. Stortinget har blitt utsatt for to fiendtlige angrep. Nylig ble også Nortura og Amedia rammet. Hva kan vi lære av disse sakene, for å redusere sannsynligheten for at man selv blir rammet? Et stikkord er risikovurderinger, og at man tetter de hullene man finner slik at løsningene og infrastrukturen der personopplysningene behandler, blir mest mulig robuste.

I 2011 påpekte vi store svakheter med sikkerheten i Østre Toten kommune, men lite ble gjort. Stortinget hadde selv avdekket svakheter i egne løsninger, og hadde besluttet å innføre tofaktorautentisering, men hackerne slo til før det ble gjort.

Det er lett å være etterpåklok, men det er mange norske bedrifter som ikke tar datasikkerhet på tilstrekkelig alvor. Konsekvensene kan bli fatale.

Og hva nå?

Personvernet vil garantert forandre seg mye de neste ti årene. Politikerne må regulere teknologigigantene, og Norge må gå foran. Vi må tørre å si nei til overvåkningsbasert markedsføring. De kollektive konsekvensene av overvåkning og sporing må bli en like naturlig del av samtalen som de kollektive konsekvensene av global oppvarming.

Økt diskriminering og overvåking rammer ofte de svakeste og utsatte gruppene. Lovgiver må utrede konsekvenser for personvernet, ikke som en papirøvelse, men i erkjennelsen av at det å unnlate kan få store konsekvenser for borgerne.

Og til slutt: Vi må fortsette å snakke sammen, vi som skal håndheve regelverket og de som potensielt kan bryte det. Personvern og innovasjon må gå hånd i hånd. Datatilsynets regulatoriske sandkasse må få permanent finansiering, og kanskje kan vi sammen skape et nytt, personvernvennlig Google. På norsk.

Denne teksten ble først publisert i DN.

Den norske mediebransjen mobiliserer igjen for å stoppe innstramminger i regelverket for cookies og lignende sporingsteknologier. Denne gangen håper vi at regjeringen ikke lytter.

Bakgrunnen for det som utspiller seg i høringsrunden går nesten ti år tilbake i tid. Da skulle Norge forsøke å implementere et EU-direktiv som krevde at brukere måtte samtykke for at deres personopplysninger skulle bli samlet inn gjennom cookies og lignende teknologier som gir tilgang til informasjon som er lagret på mobil, datamaskin, nettbrett og lignende. Formålet var å gi internettbrukere i Norge bedre kontroll over sine personopplysninger, på samme måte som internettbrukere i resten av Europa.

Slik ble det ikke.

Etter sterk mobilisering fra mediebransjen og andre som driver innen digital markedsføring, valgte i stedet Samferdselsdepartementet i 2013 å åpne for at en forhåndsinnstilling i nettleser om at bruker aksepterer cookies kan anses som et samtykke.

Spor først, ikke spør etterpå

Hvis man ikke selv går inn og endrer de tekniske innstillingene i nettleseren eller mobilen, anses man altså for å ha samtykket til å kunne bli sporet på nett. Dette gjelder for eksempel hvilke sider man besøker, hvor lenge man er der og hva man gjør.

Hvordan dette kan kalles et samtykke i noen som helst form, er vanskelig å forstå. I stedet for å ta et aktivt valg om man ønsker å bli sporet eller ikke, blir man sporet fra første stund – spor først, ikke spør etterpå. Da forslaget kom, uttalte Datatilsynet at departementet hadde landet på den desidert dårligste løsningen. Norske brukeres personvern blir i realiteten avgjort av forhåndsinnstillinger som utformes av utenlandske teknologiselskaper slik som Google eller Apple.

Når det nå på nytt foreslås innstramminger i kravet til samtykke for bruk av cookies og lignende teknologier, har mediebransjen igjen mobilisert for å stoppe eller trenere endringene. Mediebedriftenes Landsforening (MBL) har levert en høringsuttalelse som støttes av bransjens store aktører. Her bes det om at de foreslåtte endringene ikke gjennomføres.

Begrunnelsen er ifølge MBL å opprettholde annonseinntektene for mediebransjen i møte med store teknologiselskaper som Facebook og Google, slik at de kan finansiere journalistikken som tjener en viktig samfunnsrolle i et demokrati. Dersom kravet til samtykke til cookies og andre identifikatorer strammes inn, mener MBL at dette vil kunne innebære en betydelig reduksjon i norske redaksjonelle mediers annonseinntekter.

Det er fritt vilt

Datatilsynet har selvfølgelig forståelse for hvor viktig de redaksjonelle medienes samfunnsrolle er. Reglene som nå foreslås innført i Norge er imidlertid regler som redaksjonelle medier i øvrige europeiske land har måtte forholde seg til i nesten 10 år.

At noe må gjøres med teknologigigantene, er vi heller ikke uenig med dem i. Men det er ikke det dette forslaget handler om. Dette forslaget handler om å verne om internettbrukeres grunnleggende menneskerett til personvern, og retten til å bestemme over egne personopplysninger.

Dagens særnorske og personvernfiendtlige cookie-regelverk gjelder ikke bare for norske medier. Dette regelverket gjelder på samme måte for Google, Facebook og alle andre som benytter cookies eller lignende sporingsteknologier på internettbrukere i Norge. Det er fritt vilt.

Det Datatilsynet og Forbrukertilsynet ber om, er at norske internettbrukere skal ha samme mulighet som andre i Europa til å velge om de vil gi sine personopplysninger til kompliserte annonsenettverk bak kulissene, og som vanlige brukere gjerne ikke har forutsetning for å forstå hvordan opererer.

Dersom endringer i cookie-regelverket skal gjennomføres, mener MBL at bruk av cookies som finansierer av redaksjonelle medier må falle inn under et eksisterende unntak fra samtykkekravet for cookies eller lignende teknologi som er «nødvendig» for å levere en nettjeneste som brukeren uttrykkelig har bedt om.

Datatilsynet er også forundret over timingen

Etter vårt syn er det ingen holdepunkter for en slik forståelse i dagens regelverk. Dette unntaket skal tolkes strengt, og unntaket gjelder for eksempel de tilfellene hvor nettsiden trenger å huske hva du har lagt i handlekurven i en nettbutikk. Spranget er stort fra en bruker som behøver at nettsiden husker varen i handlekurven til massiv innsamling av personopplysninger for å målrette markedsføring mot hver enkelt bruker.

At mediebedrifter skal gis en særlig tillatelse til å fortsette den nåværende praksisen på bekostning av norske brukeres rett til selvbestemmelse over egne personopplysninger, vil vi advare mot. Dersom argumentet mot at man må be om samtykke er at brukere ikke sier «ja», så mener vi man har misforstått poenget med å be om samtykke og hvorfor disse innstrammingene foreslås.

Samtykke er ingen perfekt løsning, men per i dag finnes det ingen gode alternativer. Samtykkebokser kan også designes på måter hvor man ivaretar personvernet, og gir brukerne et reelt valg. MBLs argument om at det må være anledning til å stenge ute brukere som sier «nei» til cookies fra en nettside, er stikk i strid med det felles standpunktet til datatilsynsmyndighetene i Europa. En slik praksis på redaksjonelle mediers nettsider vil også kunne gå ut over folks mulighet til å delta i samfunnsdebatten.

Et gjennomgående poeng i høringsuttalen til MBL er at det er uheldig å endre den norske regelen nå, mens det jobbes med en ny kommunikasjonsvernforordning for EU. Avslutningsvis i et intervju med Kampanje uttaler styreleder i MBL, Pål Nedregotten, at han er «forundret over timingen».

Datatilsynet er også forundret over timingen.

Vi er forundret over at disse endringene ikke kom i 2013 da kravet til samtykke til cookies ble strammet inn i resten EU og EØS. Arbeidet i EU med kommunikasjonsvernforordningen har tatt svært lang tid, og ennå vet ingen når denne kommer. Å gjennomføre innstramminger i cookie-regelverket er på overtid, og personvernet til norske internettbrukere kan ikke vente lenger.

Det regner vi med at regjeringen ser.

Denne kommentaren ble først publisert i Kampanje (10.11.21), og er skrevet av Kristian Bygnes og Anders S. Obrestad. Begge jobber som juridiske rådgivere i Datatilsynet.

Dette innlegget stod på trykk i Morgenbladet fredag 24. september og er skrevet av Dag Mostuen Grytli og meg selv – vi jobber begge i Seksjon for utredning, analyse og politikk i Datatilsynet.

I 1962 publiserte den amerikanske biologen Rachel Carson Den tause våren, som er kjent som en av de viktigste ledestjernene for den globale miljøbevegelsen. Carsons oppgjør med sprøytemiddelindustrien førte til konkrete samfunnsendringer, og bidro til en forståelse av miljøødeleggelser som kollektiv skade: alles liv forringes og trues når økosystemene vi er en del av, dør.

Tiden er overmoden for å gjøre det samme med personvern. I en kommentar i Morgenbladet etterlyser Lena Lindgren politikere som vil jobbe for digital selvråderett. Den regjeringsutnevnte Personvernkommisjonen er et godt sted å starte, og kommisjonen bør benytte anledningen til å sette de kollektive skadevirkningene av personvernkrenkelser og inngripende overvåkning på dagsordenen.

«Jeg samtykker til at demokratiet forvitrer»

Et menneske er ingen øy, og de siste årene har det skjedd en merkbar endring i hvordan personvernrettigheter forstås og debatteres. Beskyttelse av enkeltindividets grunnleggende rettigheter og friheter vil alltid være personvernets kjernefunksjon, men den kollektive verdien som følger av enkeltindividets vern, og de kollektive skadevirkningene av at personvernet svekkes, blir stadig mer presserende å snakke om.

Når en fellesressurs ødelegges fordi alle brukerne av ressursen handler til sitt eget beste, selv om de på lang sikt skader seg selv, kalles for allmenningens tragedie. Vår tids digitale utfordringer bærer i seg et element av dette: de digitale økosystemenes annonsedrevne overvåkningsmodell forurenser offentlighetssfærer og skader demokratier over hele kloden. På samme måte som en lang rekke ressursproblemer som vannmangel, overfiske og global oppvarming.

I tråd med den digitale tidsalderens ånd står vi fritt til å inngå avtaler med verdens største selskaper, hvor vi tvinges til å akseptere vilkår som bryter med grunnleggende rettigheter. Det finnes mange grunner til at personvernerklæringer og «jeg godtar»-knapper ikke fungerer. En av dem er at de kollektive skadevirkningene av individuelle valg er vanskelige å få øye på. Dette er også allmenningens tragedie.

Summen av den omfattende sporingen endrer forutsetningene for demokratiske friheter, som ytringsfriheten og muligheten til å søke informasjon. Hvis vi konstant mistenker at vi er overvåket, vil mange legge bånd på seg, noe som fører til en nedkjølingseffekt. Nedkjølingseffekten er spesielt kritisk for utsatte grupper som allerede føler seg utpekt og mistenkeliggjort, som varslere, minoriteter og andre som kanskje har meninger som ikke følger midtstrømmen.

Uintenderte metaforer

Mennesker er den eneste arten som forstår verden gjennom historier, myter og metaforer. Denne måten å forstå tilværelsen på kan belyse og mørklegge. Metaforer kan også fungere på måter som sannsynligvis ikke var intensjonen når metaforen først ble lansert.

Klisjeen om at data er den nye oljen, er en slik metafor. I utgangspunktet skulle sammenligningen peke mot de enorme verdiene som ligger i storskalainnsamling og analyse av personopplysninger. Metaforen fungerer (muligens utilsiktet) også i kraft av at selskapene som dominerer de digitale markedene, utøver monopolmakt, på samme måte som oljeselskapene gjorde for et århundre siden.

I dag vet vi at den fossile energien som har revolusjonert vår verden, også potensielt kan ødelegge den. Og selv om livsstilsendringer på individnivå kan hjelpe, er det bred enighet om at klimakrisen må løses politisk.

Parallellene er flere. Vi kan observere at de mest personvernfiendtlige aktørene markedsfører sine tjenester som de mest personvernvennlige, med dyre reklamekampanjer og sponsing av konferanser og utredninger. Personvernvasking kan legges til begrepslisten ved siden av grønnvasking og rosavasking.

Datasølet, liksom oljesølet, treffer også ulikt. Vi har sett stygge eksempler på at folk med mørk hudfarge blir feilpredikert av ansiktsgjenkjenningsteknologi eller at algoritmer diskriminerer på kjønn i rekrutteringsprosesser. Cambridge Analytica ble på samme måte et skandalisert selskap da de ekstremt inngripende valgmanipulasjonsmetodene deres ble avslørt i USA og Storbritannia. Lite ble skrevet om de trettitalls valgene de manipulerte i land på den sørlige halvkule. Vi ser også en tendens til at invaderende overvåkning av arbeidstagere er mest utbredt i lavtlønnede yrker.

I vår felles bakgård

Hvis data er den nye oljen, må vi snakke mer om forurensingen, utslippene og de kollektive skadevirkningene stordataalderen har medført. Bevisste forbrukervalg, nettvett og kunnskap om informasjonssikkerhet er viktig, men langt fra nok i dataforurensingens tidsalder. Vi må løfte samtalen og politikkutformingen mot en forståelse av personvern som et kollektivt gode, i tillegg til en fundamental rettighet på individnivå.

Hvordan kan vi konkret jobbe for at de kollektive konsekvensene av overvåkning og sporing blir en like naturlig del av samtalen som de kollektive konsekvensene av global oppvarming? En god start vil være at Personvernkommisjonen sørger for å koble det individuelle og forbrukerorienterte med det kollektive og samfunnsmessige.

Denne teksten ble først publisert på kommunikasjonsforeningens nettsider 23.09.2021.

Jeg kaster her ut et kjøttfullt ben som jeg håper kan bidra til å øke bevisstheten og skape debatt om det offentliges bruk av sosiale medier.

Bindinger til big tech er regelen snarere enn unntaket. Ved å bruke gratis tilgjengelige verktøy fra de store teknologiselskapene, inviterer offentlige virksomheter kommersielle aktører til å samle inn og bruke data om norske innbyggere. Samtidig skapes det et avhengighetsforhold som det kan bli vanskelig å fri seg fra, ettersom det finnes få alternative tjenestetilbydere.

Vi må passe på at det samme ikke skjer med retorikken: at offentlig sektor blir for avhengig av argumenter som forsvarer deres tilstedeværelse på Facebook, Twitter, LinkedIn og co, samtidig som de unnlater å reflektere over egen tilstedeværelse i kanalene og tenke alternativt. Hardt arbeid og tøffe beslutninger ligger forut. Det er først når man forsøker å fri seg fra lenker, man kjenner hvor krevende det kan være.

Tyskland går foran

Det offentlige myndigheter gjør, har en signaleffekt. Datatilsynet befinner seg i en merkelig situasjon. Som en moderne virksomhet digitaliserer og effektiviserer vi oss i takt med samfunnet. Samtidig skal vi være garantist og fremste beskytter av personvernet i Norge. Dermed står Datatilsynet i en snodig skvis i spørsmålet om vi bør bruke sosiale medier i vårt eget kommunikasjonsarbeid. Et par tilfeller fra våre kolleger i Tyskland er interessante.

I januar 2020 valgte en av de tyske datatilsynsmyndighetene å slette sin konto på Twitter. To EU-dommer, og personvernregelverkets krav til å avklare såkalt felles behandlingsansvar, var blant årsakene. Tilsynet konkluderte med at de ikke lenger var på trygg, juridisk grunn. Samtidig kom de med noen minstekrav overfor andre offentlige myndigheter som benytter sosiale medier i delstaten. I dag sverger vårt tyske søstertilsyn selv til den desentraliserte mikrobloggingstjenesten Mastadon når de kommuniserer med sine innbyggere.

Regelverket (GDPR) og rettspraksisen som avgjørelsen hviler på, vil være både direkte og indirekte bindende for Norge. EU-dommene Wirtschaftsakademie og Fashion ID fastslår at den som oppretter en Facebook-side, vil være felles ansvarlig med Facebook for behandlinger av personopplysninger på siden.

Da dommene falt, var vi i Datatilsynet selv allerede i dypt inne i vurderinger om egen bruk av sosiale medier.

Må ha orden i eget hus

Bruk av sosiale medier reiser flere viktige tekniske, juridiske og etiske spørsmål. Et knapt år etter at GDPR trådte i kraft, satte vi selv i gang med et ambisiøst prosjekt som bidrar til å belyse disse spørsmålene. Mandatet fra ledelsen var ikke å vurdere om vi skal gå ut av Twitter. Vi skulle vurdere å gå inn på Facebook.

Med innføringen av personvernforordningen, eller GDPR, i 2018, har vi fått et strengt og teknologinøytralt regelverk som plasserer plikter og ansvar på alle som behandler personopplysninger. Regelverket stiller krav til alle som behandler personopplysninger, og til formidlingen av rettigheter og informasjon om behandlingen. Forordningen handler i bunn og grunn om å ha orden i eget hus.

Et viktig verktøy for å sikre at personvernet til brukerne som er registrert i en løsning ivaretas, er å gjennomføre risikovurderinger og vurdering av personvernkonsekvenser. Det er dette verktøyet Datatilsynet nå har brukt i vurderingen av Facebook, og som har munnet ut i en ny rapport.

Legitimerer overvåkingsøkonomien

Vår vurdering er på mange måter et bidrag til en analyse av overvåkingsøkonomien. Kommunikasjon i sosiale medier vil av natur alltid inneholde personopplysninger. De store teknologigigantene går ut av sin vei for å gjøre det enklest mulig å kommunisere på plattformene deres. Tilsynelatende triviell kommunikasjon medfører ofte en omfattende behandling av personopplysninger. Jeg mener at et av de mest innsiktsfulle perspektivene å forstå disse plattformene på, er fra et personvernperspektiv.

Det er lettere å ta stilling til teknologi når vi forstår den bedre. Hva slags opplysninger samles inn fra Facebook-siden? Hvor lenge vil opplysningene lagres i Facebook-systemet? Hva er behandlingens geografiske omfang? I en teknisk kartlegging gjorde vi rede for behandlingens art, omfang, formål, sammenheng, kilder og mottakere, samt løsningens informasjonssikkerhet.

Kartleggingen «tvinger» en til å beskrive og ta stilling til en rekke forhold ved en databehandling som påvirker den enkeltes personvern, rettigheter og friheter. Ved å kommunisere gjennom en side på plattformen, bidrar vi til å opprettholde og legitimere denne økonomien.

Nye regler skulle skape endring

De store teknologiplattformene har lenge vært et vanskelig juridisk terreng. De setter standarden selv: «Godta vilkårene våre i sin helhet, eller la være å bruke tjenesten». De fleste tar ikke stilling til nye personvernerklæringer når det kommer oppdateringer, og har kanskje heller ikke sett på den gamle. Facebook kan når som helst endre sine vilkår.

GDPR ble innført for å endre. Hvor lenge kan vi akseptere denne rollefordelingen?

La oss se på enda et tilfelle fra Tyskland. Før sommeren gikk det føderale datatilsynet (BFDI) ut og gav offentlige myndigheter beskjed om å slette Facebook-sidene sine innen nyttår. Dette blant annet som følge av Schrems II-dommen spesielt og mangel på etterlevelse av EUs personvernlovgivning generelt. Offentlige myndigheter skal gå foran som et godt eksempel, sier de.

Et spørsmål om verdier

Bruk av sosiale medier gjør at ulike verdier kommer i konflikt med hverandre. Personvern må ofte balanseres mot interesser av vidt ulik karakter. Datatilsynet har, som resten av offentlig sektor, et viktig informasjons- og kommunikasjonsbehov. Samtidig har vi plikt til å informere om et stort og komplisert regelverk. Vi er ombud for én av de viktigste verdiene i et informasjonssamfunn.

Den enkelte står fritt til å bruke sosiale medier og ta stilling til personvern etter eget skjønn. Som offentlig aktør og rollemodell for personvernet, må vi i Datatilsynet ta mer allmenne hensyn og oppfylle våre plikter. Som tilsynsmyndighet følges vi med argusøyne når det gjelder loven vi selv håndhever. I vårt interne hierarki av verdier, er det selvsagt at personvernet troner øverst. Det går på bekostning av for eksempel Google Analytics, Youtube – og nå Facebook.   

Vårt tyske søstertilsyn hoppet over til plattformen Mastadon. Kanskje en emigrering til alternative kommunikasjonsverktøy er den eneste måten vi kan tilbakevise argumentet om at myndighetene må være der folket er? Jeg skulle ønske jeg kunne vise til et mer attraktivt alternativ.

En rekordstor GDPR-bot fra Luxembourg illustrerer dilemmaet: Trår man feil, kan behandling av personopplysninger gi muligheter på kort sikt og utfordringer på lang sikt. Her er noen råd på veien.

Stemningen var neppe god hos Amazons advokater da de mottok det luxembourgske datatilsynets seneste avgjørelse – også rett før sommerferien, da! Tilsynsmyndigheten mener at Amazons bruk av personopplysninger i markedsføring strider mot Europas personvernregler, GDPR, og at et overtredelsesgebyr stort 746 millioner euro er en passende straff.

Som Vanebo påpeker, har det luxembourgske datatilsynet taushetsplikt om Amazon-saken frem til den er avgjort i rettssystemet. Siden Datatilsynet i Norge er part i saken som berørt tilsynsmyndighet, er vi også tilbakeholdne med å kommentere. Vi kan imidlertid si dette: Hvis Amazon hadde fulgt rådene nedenfor, hadde nok ting gått annerledes. Selv i en tid hvor datatilsynsmyndighetene skjerper håndhevingen, finnes det grep man kan ta for å unngå å havne i tilsynsmyndighetenes søkelys.

Fornøyde forbrukere får velge

Mange GDPR-klager gjelder manglende valgfrihet. Ikke sjeldent definerer virksomheter hva kundene ønsker at personopplysningene deres skal brukes til – uten å spørre kundene, og gjerne i strid med empiri. For eksempel har flere virksomheter sagt at kundene ønsker målrettet markedsføring, selv om Datatilsynets siste personvernundersøkelse viser det stikk motsatte.

Noen ganger gir virksomhetene valgfrihet på papiret, men gjemmer valgene såpass godt at de fleste gir opp underveis. For hvert ekstra klikk man må gjennom for å si nei, desto mindre frivillig er valget.

Én ting er at slike praksiser kan medføre smekk på fingrene fra tilsynsmyndighetene. En annen ting er at det frustrerer eksisterende kunder og skremmer bort nye. Personvernundersøkelsen vår viste for eksempel at halvparten av oss har unngått å gjennomføre et kjøp i en nettbutikk fordi vi ikke stoler på hvordan nettbutikken behandler personopplysningene våre. Dette er et godt eksempel på samspillet mellom personvern og god forretning.

De gode forventningene

Et annet og beslektet element, som stadig oftere legges vekt på i europeisk tilsynspraksis, er kundenes berettigede forventninger til behandling av personopplysninger. For eksempel vil kunder ofte forvente – og forutsette – at opplysninger de legger igjen hos en virksomhet de stoler på, ikke deles fritt med utenforstående. Og nei, her kan man ikke gjemme seg bak kryptiske formuleringer om datadeling i lange personvernerklæringer som de aller fleste ikke leser.

På et mer overordnet nivå kan vi si at kunder som legger igjen data hos en virksomhet, forventer at dataene ikke skal brukes mot deres interesser. De færreste har interesse av å miste kontrollen over egne personopplysninger eller at personopplysningene skal brukes til å prakke på en ting man ikke vil ha. Dessverre er det ofte nettopp dette som skjer – og det er derfor Datatilsynet mottar klager.

Bærekraftig datainnovasjon

Løsningen er neppe å slutte å bruke data – og det finnes tross alt mange tilfeller der vi forventer og har glede av at personopplysningene våre behandles. Spørsmålet er i stedet hvordan vi kan bruke data riktig. Data bør jobbe for kundene, ikke imot – og det bør i størst mulig grad være opp til kundene å bestemme hva de vil. Fornøyde kunder blir værende, og de klager ikke til tilsynsmyndighetene.

Dette er åpenbart lettere sagt enn gjort. Samtidig kan man nok si at virksomheter som innoverer databruken i denne retningen, har det lengste tidsperspektivet. Vi vet ikke hva fremtiden bringer, men vi vet at bærekraftig databruk har de beste forutsetningene for å møte den.

Les innlegget på digi.no

Det kan være vanskelig å navigere i de mange hundre arrangementene som går av stabelen, mange i parallell, derfor denne guiden til Arendalsuka. Det er viktig å velge riktig, og det å velge riktig i denne sammenhengen er selvsagt å stalke oss i Datatilsynet under uken i august. Men vær obs, denne bloggen kommer med en advarsel: Ting endrer seg fort, nye deltagere kan komme til, innretningen på debattene kan endres og nye kan komme til. Sjekk gjerne linkene under hver programpost for siste, oppdaterte informasjon.

Mandag 16. august: Digitalt demokrati: Smittefritt, men er det for alle?

Data påvirker og data flytter makt, data kan bidra til å avgjøre valg og stenge folk ute fra viktige plattformer. Men har åpenheten en pris, og er den for alle? Denne debatten er den første vi deltar i på årets Arendalsuke, og beskrives slik av arrangøren:

Digitaliseringen har vært avgjørende for å holde Norge i gang under koronapandemien, men med på lasset får vi Facebook-annonser, hacking og konspirasjoner. Pandemien gjør at husbesøk og folkemøter i valgkampen erstattes av innlegg på sosiale medier og samlinger på Teams. Bystyremøter strømmes på Facebook, og innbyggerne kan gi tilbakemeldinger i kommentarfeltet. Men klarer vi å nå alle på de nye arenaene?

Jeg deltar sammen med blant annet direktør Tore Tennøe i Teknologirådet.

Tid: 16.08, kl. 14.00-15.00 | Sted: Demokrativerkstedet i Arendal |Arrangør: Sopra Steria

Lenke til arrangement: https://arendalsuka.no/event/user-view/16611

Tirsdag 17. august: Personvernet slår tilbake

Personvernet er under stadig press, både fra kommersielle aktører og offentlige etater. Nå er tiden inne til å diskutere personvernets kår, og om vi nå endelig går inn i personvernets tidsalder. 

Bakgrunnen for denne diskusjonen er blant annet viktige avgjørelser mot de store teknologiselskapene, søksmål mot Facebook etter oppkjøpet av WhatsApp, viktige dommer fra EMD og EU-domstolen knyttet til overvåkning og Schrems-dommen, som har sendt personvern-sjokkbølger gjennom Europa og USA. I Norge har vi varslet et gebyr på 100 mill. til Grindr.

Arrangementets første panel består av Adele Matheson (NIM), Karsten Friis (NUPI) og undertegnede, og tar for seg den statlige overvåkingen i samfunnet. Det andre panelet tar for seg den kommersielle overvåkingen, og består av Ingrid Lise Blyverket (Forbrukerrådet), Vivi Rignes Wilhelmsen (Forsvarets Høyskole). Jeg deltar også i dette panelet. Moderator for arrangementet er Martin Gundersen i NRKBeta. 

Tid: 17. august kl. 8.00-9.00 | Sted: Samfunnsteltet – jubileumsscene | Arrangør: Datatilsynet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15452

Tirsdag 17. august: Digitalisering i skolen – har vi glemt personvernet?

Personvern i skolen har vært et viktig tema for Datatilsynet i mange år. Nå har Bouvet gjennomført en undersøkelse om personvernets kår i skolesektoren. De beskrives arrangementet slik:

Skolen har blitt kræsj-digitalisert under koronaen. Det svømmer over av nye digitale læringsverktøy og mange skoler har utvist en fantastisk kreativitet. Samtidig er Bouvet bekymret for personvernet til lærere og barn. Derfor har vi gjort en omfattende undersøkelse om status på personvern i skolen. På bakgrunn av undersøkelsen tar vi debatten om konsekvensene av kræsj-digitaliseringen av skolen.

• Er det på tide å dra i bremsen for å sikre at ikke personopplysninger om elever blir misbrukt, eller er det noen skoler som er for strenge i møte med nye apper og digitale tjenester? 
• Må lærerutdanning, skoleforvaltningen og metodefriheten i skolen endres som en konsekvens av digitaliseringen?

Blant deltagerne finner vi Simen Sommerfeldt, teknologidirektør i Bouvet, Tonje Brenna, Stortingsrepresentant fra Arbeiderpartiet og Steffen Handal, leder i Utdanningsforbundet. Jeg deltar fra Datatilsynet.

Tid: Tirsdag 17/8 2021 10:00 – 11:00 | Sted: Castelle | Arrangør: Bouvet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15713

Tirsdag 17. august: Maktkamp og samarbeid i kampen mot klimaendringene

Personopplysninger brukes i dag, litt forenklet, til alt. At vi mottar reklame basert på nettaktiviteten vår er gammelt nytt, men tema for denne diskusjonen bringer oss inn på et nytt felt: Hvordan bruke personopplysninger for å bekjempe klimaendringer? Arrangementet beskrives slik:

Hva kjennetegner de ledende selskapene i den grønne omstillingen? Hva er folkets fotavtrykk? Hva tenker forbrukerne om kommunikasjon og markedsføring av bærekraft? Hvordan ivareta personvern når vi spør om dine data for å ivareta miljøvern? Hvilken rolle og virkemidler har kommunene i å motivere innbyggerne til adferdsendring? 

Rolf Jarle Brøske og Jan-Frode Janson fra Sparebank1 SMN, Anne Kathrine Slungård fra Forbrukerrådet, Børge Brende, President i World Economic Forum, Gunelie Winum fra Ducky og flere holder innlegg for å svare på spørsmålene under arrangementet, der jeg deltar fra Datatilsynet

Tid: 17. august kl. 11.15 – 12.00 | Sted: Arendal kino | Arrangør: Sparebank1 SMN

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16693

Tirsdag 17. august: Kunstig intelligens på arbeidsplassen

Kunstig intelligens er på full fart inn i arbeidslivet. Ny teknologi kan gi både økt verdiskaping og nye arbeidsplasser. Samtidig ser vi eksempler på at kunstig intelligens har ført til diskriminering av minoriteter eller blir brukt til å overvåke de ansatte. Hvordan kan kunstig intelligens bli et gode for alle – og ikke oppleves som en trussel? Hvordan legger vi til rette for god utnyttelse av ny teknologi, samtidig som vi ivaretar sosiale konsekvenser? Hvordan kan de ansatte påvirke utviklingen, og hvordan vil EUs nye regulering av kunstig intelligens påvirke arbeidslivet?

Kari Laumann, prosjektleder for vår regulatoriske sandkasse for kunstig intelligens, deltar fra Datatilsynet.

Tid: 17. august kl. 18.00 – 19.00 | Sted: Clarion Hotel Tyriholmen | Arrangør: Negotia, Finansforbundet og NITO

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16206

Onsdag 18. august: Rundebordsamtale om datadeling

Data har stor verdi og data skal deles, bare så det er slått fast nok en gang. Men i en årrekke har vi diskutert hvordan vi skal dele data på lovlig vis, hvilke begrensninger som finnes og hvordan vi kan overkomme disse. Denne debatten beskrives slik:

Data er en ressurs som samfunnet må utnytte bedre. All offentlig oppgaveløsning og tjenesteutvikling innebærer bruk av data. Viderebruk av offentlig informasjon handler om å gi næringsliv, forskere og sivilsamfunn tilgang til åpne data fra offentlig sektor på en måte som gjør at de kan brukes i nye sammenhenger, skape nye tjenester og gi økt verdiskaping for sluttbrukeren. 

Det er mange gevinster å hente på å dele data bedre, særlig innenfor effektivitet, mulighetsrom og brukeropplevelse. Samtidig møter en raskt på utfordringer knyttet til personvern og datasikkerhet. Det er behov for mer kunnskap om hvordan infrastrukturen, både i statlig og kommunal sektor, kan tilrettelegges for deling av data. 

Tata Consultancy Services (TCS), som IT- og teknologiekspert, ønsker å organisere en rundbordssamtale  med aktører engasjert i dette temaet for å diskutere muligheter, hindringer og potensielle løsninger. Med sin unike innsikt i løsninger og teknologi, kan TCS lede en diskusjon rundt dette temaet og hva dette betyr for virksomheter og befolkningen.   

Rundbordssamtalen vil engasjere forkjempere av datadeling, forsvarere av personvern og datasikkerhet, fra offentlig og privat sektor, med lærepunkter fra forskjellige industrier, når det gjelder avansert datadeling. Dette gleder jeg meg til å diskutere.

Tid: 18. august kl 10-11. | Sted: Madam Reiersen | Arrangør: Tata Consultancy Service  

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16151

Onsdag 18. august: Personvern for barn og unge – hvordan sikrer vi at barna blir hørt?

Arbeidet med å bedre barns personvern har over lang tid vært rettet mot skolesektoren, og det har vært sett på hvordan skolens digitale verktøy for opplæring og kommunikasjon må sikre elevenes personopplysninger.

Tiden er inne for å rette blikket mot de unge selv også. Hvilke verktøy har barn og unge for å få hjelp til å ta gode valg for seg selv? Hva gjør samfunnet for å sikre at barna faktisk blir hørt og de settes i stand til å ivareta sitt eget personvern? 

Barneombud i Barneombudet, Inga Bejer Engh, influenser og samfunnsdebattant Kristin Gjelsvik, og undertegnede tar debatten. Sara Eline Grønvold er moderator. 

Tid: 18. august kl. 15.00 – 16.00 | Sted: Arendal bibliotek | Arrangør: Datatilsynet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15322

Torsdag 19. august: Raskere og mer treffsikker kreftbehandling – hvordan bruke kunstig intelligens til pasientens beste?

Personvern og helse er et svært sentralt tema. Kanskje er det i denne sektoren persondata kan gjøre mest samfunnsnytte? Samtidig er det ingen sektor som har flere registre og mer sensitive data om oss. Det evige spørsmålet er: Hvordan skal vi balansere disse interessene?

Arrangøren beskrives debatten slik: Krav til pasientforløp og ventetid legger stadig større press på spesialisthelsetjenesten. Behovet for raskere diagnostisering og gode verktøy for å avhjelpe kapasitets- og kvalitetsproblemer øker. Å ta i bruk teknologi som baserer seg på KI avhenger av at det etableres gode og forutsigbare rammebetingelser. Dette vil være særlig viktig innen kreftområdet.

I debatten deltar politikere, helsepersonell, beslutningstagere, forskere og jeg, for å diskutere hvordan kunstig intelligens kan bli en større del av løsningen på noen av helsetjenestens utfordringer fremover. Men, hva må eventuelt endres?

Tid: 19. august kl. 11.00 – 12.00 | Sted: Rederikontoret | Arrangør: Siemens Healthineers

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15873

Torsdag 19. august: Blir vi best? Eller kommer vi i bakleksa? Debatt om kunstig intelligens, innovasjon og personvern

Jeg tror fullt og fast på at personvern og innovasjon kan gå hånd i hånd. Nettopp derfor har vi etablert regulatorisk sandkasse for kunstig intelligens, som så langt har vært en stor suksess.

Samtidig ser vi spenninger internasjonalt. Europa tar lederrollen som den ansvarlige på KI-fronten. Og Norge vil være best av de beste. Men hvordan blir hårete mål og strenge personvernregler fulgt opp når gründere vil gjøre geniale idéer til teknologiske tilskudd på et galopperende KI-marked? Graver vi vår egen KI-grav, eller vil de andre følge i våre fotspor? Hvordan er det for innovatørene i kampen mot globale konkurrenter med langt slappere krav? Regulerer vi oss inn i bakleksa? Eller er det vi som vinner til slutt?

Datatilsynet og DigitalNorway inviterer til diskusjon, som vil gå over to paneler. Til arrangementet kommer blant annet Erlend Andreas Gjære (Secure Practice), Anders Bryhni (Sintef), Ingeborg Frøysnes (IKT-Norge), Kjetil Thorvik Brun (Abelia) og Liv Dingsør (DigitalNorway). Kollega Kari Laumann og jeg deltar fra Datatilsynet.  

Tid: 19. august kl. 12.30 – 14.00 | Sted: Thon Hotel Arendal | Arrangør: Datatilsynet og DigitalNorway

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15317

En digital nedkjølingseffekt

Datatilsynet gjennomførte i årskiftet 2019/2020 en personvernundersøkelse som blant annet påviser en digital nedkjølingseffekt. Det betyr at mange begrenser bruken av digitale tjenester eller lar være å bruke dem. Effekten av digitalisering bremses fordi man ikke har den nødvendige tilliten til tjenestene – med rette.

Det blir stadig tydeligere at gigantene bak «sosiale medier» – som 1800-tallets matprodusenter – ikke tilbyr tjenestene til samfunnets og enkeltmenneskenes beste. Google, Facebook mfl. er i realiteten først og fremst annonsesalgsselskaper. Gjennom kynisk bruk av algoritmer, ønsker de først og fremst at du trykker på så mange annonser som mulig via deres plattformer.

Algoritmene som benyttes i disse sammenhengene faller i mange tilfeller innenfor (en relativt bred) definisjon av «kunstig intelligens» (KI). ²

Enormt potensial

Det positive potensialet for løsninger som benytter KI-algoritmer er enormt. Som f.eks. bedre og mer effektive helsetjenester, inkludert nyttige og effektive offentlige og private tjenester generelt. Ikke bare i industrialiserte land, men kanskje spesielt i land med krevende utfordringer knyttet til økonomi og samfunnsinfrastruktur.

Samtidig kan teknologien – tilsiktet eller ikke – føre til løsninger som konsekvent foreslår menn til tekniske stillinger i Google. Eller sørge for at det systematisk blir foreslått strengere straffer for afroamerikanere i det amerikanske rettssystemet. Eller foreslår kostbare helsebehandlinger for noen grupper, og ikke for andre. Uten av vi – inkl. «ekspertene» – kanskje helt skjønner hvorfor?

Der Wiley satt blant glasskolber og målebegre for å finne forklaring på hva «syltetøyet» egentlig var, trenger vi gode metoder, mekanismer og prosesser for å forklare hva komplekse algoritmer med kunstig intelligens egentlig gjør.

Dette behovet for forklarbarhet er grunnleggende viktig for å kunne håndheve et av de grunnleggende prinsippene i Personvernforordningen – rettferdighetsprinsippet (Personvernforordningen/GDPR Art 5.1).

Men hva er en god og forståelig forklaring? Når er forklaringen «god nok»? Når må man forklare og på hvilken måte? Dette gjelder ikke spesielt løsninger som benytter kunstig intelligens, men får ekstra gyldighet når man benytter akkurat denne teknologien. KI som konsept er ikke nytt, men den massive utbredelsen og tilgjengeligheten av teknologien siste årene gjør at dette har fått helt ny aktualitet.

Sandkasse for kunstig intelligens

Som en del av Nasjonal strategi for KI (tidlig 2020) var et av tiltakene å opprette en såkalt sandkasse spesifikt for kunstig intelligens. Datatilsynet fikk oppdraget med å realisere denne, og allerede 1. desember 2020 ble det åpnet for søknader. Her skal alle typer virksomheter av alle størrelser kunne melde inn prosjekter, som benytter KI og persondata, gjerne på måter som krever en grundig forståelse av hvordan man skal sikre at dette gjøres innenfor lover, regler og god praksis for ansvarlig bruk av teknologien. Mange svar på dette er ubesvarte, uklare eller krever en god og bredt sammensatt kompetanse for å avklares. Sandkassen er et sted hvor man sammen kan lære, også Datatilsynet. Og resultatene vil publiseres for å dele kunnskapen med alle. Målet er at det skapes løsninger med nytteverdi for samfunnet og enkeltmennesket, samtidig som enkeltmenneskets rettigheter ivaretas.

Nysgjerrig på sandkassen? I gang med å etablere eller godt i gang med et prosjekt, en tjeneste eller et selskap som enten utvikler eller benytter løsninger hvor KI og persondata er viktige elementer?

Ta en kikk på datatilsynet.no/sandkasse og hvis du kjenner «kallet» – send inn en søknad om deltagelse! Søknadsfristen for første runde er 15. januar 2021.

• ¹ Fra boken «Det store spillet», Bår Stenvik
• ² «Kunstig intelligente systemer utfører handlinger, fysisk eller digitalt, basert på tolkning og behandling av strukturerte eller ustrukturerte data, i den hensikt å oppnå et gitt mål.» Nasjonal strategi for kunstig intelligens, KMD.

Noen virksomheter har faktisk tatt til orde for at loven skal tolkes slik.

Kreativt fremstøt

Det er ikke fritt frem å behandle personopplysninger i EØS. Personvernforordningen (GDPR) inneholder en uttømmende liste over når behandling av personopplysninger er lov. Man kan for eksempel behandle personopplysninger hvis man har personens samtykke, hvis man har en rettslig plikt til å behandle opplysningene eller dersom det er nødvendig for å gjennomføre en avtale med personen.

For eksempel, la oss si at du handler i en nettbutikk, skal betale med kredittkort og ønsker å få varene levert hjem. Her er det ikke mulig å gjennomføre kjøpsavtalen med mindre tjenesten behandler betalingsinformasjon og hjemadressen din. Behandlingen av opplysningene er dermed nødvendig for å gjennomføre avtalen, og nettbutikken kan lovlig samle dem inn med dette som formål.

Flere multinasjonale teknologiselskaper har varslet at de har en videre forståelse av hva som er «nødvendig for å gjennomføre en avtale». Disse virksomhetene mener at dersom de har skrevet om behandling av personopplysninger i tjenestevilkårene (avtalene) sine, er behandlingen automatisk nødvendig for avtalen og dermed tillatt, selv om det de skriver inn i vilkårene ikke er strengt talt nødvendig for å levere tjenesten du har etterspurt. Det betyr i praksis at de ikke trenger å bekymre seg om hva du ønsker eller gi deg valgmuligheter.

Det er vanskelig å påvirke innholdet i tjenestevilkårene. Videre er forbrukere ofte så avhengig av tjenestene til teknologiselskapene at man ukritisk aksepterer brukervilkårene. Resultatet kan bli at forbrukerne står igjen maktesløse.

Personvernrådet setter ned foten

Personvernrådet (EDPB) har nå vedtatt retningslinjer om hva som er «nødvendig for å gjennomføre en avtale» i kontekst av digitale tjenester. Ikke overraskende deler ikke Personvernrådet teknologiselskapenes lovtolkning. Tvert om slår rådet fast flere viktige ting:

• Man kan ikke skrive inn hva som helst i brukervilkår og så blindt bruke «nødvendig for å gjennomføre en avtale» som rettslig grunnlag for behandling av personopplysninger.
• Det er forskjell mellom hva som er objektivt nødvendig for å levere tjenesten du har etterspurt, og aktiviteter virksomheten ønsker å utføre fordi de er nyttige eller lønnsomme.
• Virksomheter må behandle personopplysninger på en rettferdig måte som gjør personopplysningsvernet reellt.
• Personopplysninger er ikke en salgsvare.

Disse punktene er et uttrykk for at personvernreglene er ment å gi et høyt beskyttelsesnivå. Reglene sier at alle skal få større kontroll over opplysningene sine, og da må virksomhetene respektere det, og ikke prøve å lage smutthull.

For øvrig inntok Artikkel 29-gruppen, Personvernrådets forløper, samme standpunkt etter de gamle personvernreglene.

På høring

Retningslinjene er på høring i seks uker. Det vil si at alle har mulighet til å si sin mening. Les mer om retningslinjene og høringen her.