Dette innlegget er skrevet av Line Coll, direktør i Datatilsynet, og Kari Laumann, seksjonssjef for utredning, analyse og politikk i Datatilsynet. Innlegget ble først publisert i Altinget 28.01.2026.

Her hjemme har vi akkurat sparket i gang 2026, som av myndighetene er utpekt som Totalforsvarsåret. På bortebane ser vi at gamle allianser knaker og at den gamle regelbaserte verdensordenen utfordres. Teknologi har blitt et sentralt maktmiddel i geopolitikk, og personvern spiller en stadig viktigere rolle i sikkerhetspolitikken.

Tekoligarker og avhengighet

Store deler av Norges digitale infrastruktur er levert av en håndfull amerikanske selskaper. Disse selskapene er ikke bare teknologileverandører, men også globale maktaktører, og leverer alt fra fiber, datasentre, skytjenester og operativsystemer, både i privat og offentlig sektor i Norge.

Tekoligark var årets nyord i 2025. Begrepet viser til en ny maktkonsentrasjon der økonomisk, teknologisk og politisk innflytelse smelter sammen. Mange av teknologiselskapene har tette bånd til Trump-administrasjonen og liker ikke reguleringer som står i veien for kommersiell handlefrihet.

Det kommer stadig nye eksempler på hvilke konsekvenser dette har i praksis. Da Microsoft stengte e-postkontoen til sjefsanklageren i Den internasjonale straffedomstolen (ICC), ble mange europeiske land minnet om hvor sårbare vi er. Utestengelsen skjedde etter amerikanske sanksjoner mot domstolen, som følge av arrestordre mot statsminister Netanyahu og andre israelske tjenestemenn for påståtte krigsforbrytelser i Gaza.

I Kina, den andre teknologiske stormakten i verden, kan myndighetene pålegge kinesiske selskaper å dele personopplysninger med dem. Diskusjonen om de hundrevis av kinesiskproduserte bussene som kjører rundt i Norge er også illustrerende. Busser utgjør kritisk infrastruktur i for eksempel evakueringssituasjon – og spørsmålet som er reist er om disse kan fjernstyres eller settes ut av drift av produsenten.

Europeiske verdier under press

Personopplysningene våre befinner seg midt oppi det hele. De er tett vevd inn i tjenestene og den digitale infrastrukturen som kan utnyttes, enten til angrep, overvåking, påvirkning eller manipulering av informasjon.

Som et lite og sårbart land har Norge en lang tradisjon for å støtte opp under en regelbasert verdensorden. For å møte en fremtid som utfordrer denne tradisjonen ser vi et tydelig behov for å vurdere graden av kontroll vi har over teknologisk infrastruktur og dataene som flyter i den.

Personvernregelverket i Europa er ikke bare er et vern for den enkelte, men også et uttrykk for europeiske verdier og strategiske interesser. Kravene til dataminimering, rutiner og informasjonssikkerhet styrker den digitale beredskapen i norske virksomheter så vel som samfunnet som helhet. Godt personvern i norske virksomheter styrker samfunnets evne til å stå imot press, påvirkning og digitale angrep.

Personvern som kollektivt vern

I dagens sikkerhetspolitiske situasjon må personvern forstås som en integrert del av Norges totalberedskap. Skal Norge lykkes i Totalforsvarsåret 2026, må personvern, regulering og digital infrastruktur ses i sammenheng – som en del av vårt kollektive vern.  Vi mener det er på tide å få på plass en helhetlig nasjonal plan for digital suverenitet som forener og balanserer innovasjon, sikkerhet og personvern.

Etter den første bølga med generative KI-verktøy som kunne gjere mykje artig, var 2024 året for integrerte KI-verktøy i systema vi allereie brukar. Slik som Microsofts M365 Copilot. Vi blir lokka med ein enklare og meir effektiv arbeidskvardag. Men det har også ein pris. Ikkje berre i kroner og øre.

Grundig kalkyle frå NTNU

Kva den prisen blir, er eit komplekst reknestykke. Så kva er vel betre enn at ein tung og truverdig aktør som NTNU tok på seg oppgåva med å rekne seg fram til eit svar. I god akademisk ånd gjekk dei grundig til verks. Og dei involverte oss i Datatilsynet ved å bli med i vår regulatoriske sandkasse. Det er eit veiledningtilbud, der vi kan gå djupare i materien – og ja, på ein måte vere meir løysningsorienterte – enn rammene tillet oss i tradisjonelle veiledningsformer.

Vi merka at mange «der ute» venta i spenning på vurderingane og erfaringane frå prosjektet. I slutten av november lanserte vi rapporten som ser på korleis ein stor offentleg aktør som NTNU eventuelt kan ta i bruk M365 Copilot.

Sjå rapporten «Copilot med personvernbriller på».

Før det hadde NTNU også laga ein rapport med viktige funn utover det reint personvernmessige, der dei tar for seg både forvaltning, opplæring, økonomiske kostnader og korleis eit slikt verktøy kan påverke organisasjonen og arbeidsmiljøet.

Sjå NTNUs funnrapport.

Forsiktig med den røde knappen

Hovedbudskapet er at verksemder bør vere varsame med å berre trykke på den røde knappen og ta i bruk dette eller liknande integrerte KI-verktøy utan å gjere grundige vurderingar i forkant, i tillegg til å sikre kontrollmekanismar og god opplæring av brukarane. For dette er kraftfulle saker.

Begge rapportane er pedagogisk oppbygd og delt inn i 8-9 funn eller hovedpunkt. Det er verdt å lese dei begge, men som ein appetittvekker, skal du få fem sentrale punkt her:  

1. Start med ein strategi.

Definer tydeleg kva verksemda ønsker å oppnå, kva områder som er aktuelle for KI-bruk og kva områder ein bør halde utanfor. Som hovedregel er generativ KI best når du allereie kan det du vil at den skal hjelpe deg med, du har kapasitet til å kvalitetssikre arbeidet, og er villig til å ta det heile og fulle ansvaret for feil i det den leverer.

2. Sørg for orden i eige hus.

Dette er superviktig. Copilot finn (og behandlar) all informasjon du har tilgang til. Det er godt muleg at du har tilgang til mykje meir informasjon enn du er klar over. Det kjem an på om verksemda di har stålkontroll, eller ikkje, på tilgangsstyring og alt som fins av personopplysningar i systema som blir brukt. Sjølv om lova krev at verksemder har stålkontroll – om enn i meir juridiske formuleringar – ville det vere naivt av Datatilsynet å ta for gitt – slik leverandøren av Copilot gjer – at absolutt alle faktisk har det.

Ei utfordring med Copilot er at svakheter i «den digitale grunnmuren» blir synlege og kraftig forsterka med eit verktøy som har tilgang til alt du har tilgang til – og veit å utnytte seg av det.

Eller for å ta den positive tilnærminga: premien til dei som har skikkeleg orden i eige hus, er at dei har ein langt kortare veg til å kunne ta i bruk integrert KI, som for eksempel Copilot.

3. Tenk grundig (og kreativt) gjennom kva som kan gå galt?

Brukarar vil dele alle typar data med, og bruke, generativ kunstig intelligens til det dei kan. Sånn er det berre. Er det muleg, vil det bli gjort. Det er viktig å ta med seg inn når ein skal gjere vurderingar av kva personvernkonsekvensar det vil få å ta i bruk eit slikt verktøy. Ein kan ikkje ta for gitt at folk berre brukar verktøyet slik sjefane har tenkt.

Og apropos sjefane: dette verktøyet kan brukast som bossware. «Kan» her som i teknologisk – ikkje juridisk – mulighet. La meg sitere frå NTNUs funn:

«arbeidsgivere kan vurdere ansattes prestasjoner og adferd basert på skriftlig innhold de har tilgang til, som filer, dokumenter, Teams-chatter, e-postkorrespondanse, Teams-innhold, følelsesreaksjoner (emojis), transkripsjoner fra møter med automatisk opptak, osv. Ansatte har ingen mulighet til å finne ut om en slik vurdering av dem selv har skjedd.»

NTNU oppdaga at det er lett å få verktøyet til å seie noko om humør og sinnsstemning til andre tilsette. Og:

«Når Copilot har for lite informasjon å jobbe med, kan det oppstå utfordringer med løgn og hallusinasjoner. Det er sannsynlig at Copilot kan «finne på» følelser for de ansatte, noe som gjør denne problemstillingen enda mer utfordrende.»

Ein kanskje litt kontroversiell tanke i NTNU-rapporten er å vurdere om for eksempel leiarar med personalansvar ikkje skal få tilgang til Copilot, mens tilsette «på gølvet» kan få det?

På toppen av det heile er dette eit verktøy i stadig endring – på godt og vondt. Feil blir fortløpande retta, verktøyet blir stadig justert, men nye funksjonar blir også stadig lagt til. Det gjer det utfordrande å forvalte. Det krev ei vaken IT-avdeling. Det krev masse opplæring. Og det krev disiplinerte brukarar.

Så sett frå eit personvernperspektiv; det er mykje som kan gå galt og mange ledd det kan svikte i. Og det er verksemda sitt ansvar å ha tenkt grundig gjennom alt.

4. Vurder alternative løysingar.

Viss nokon av blomstrane i bedet ser litt tørste ut, set du ikkje heile hagen under vatn. Då er vi tilbake til strategien. Kanskje held det med eit par meir spissa KI-verktøy, som gjer akkurat dei arbeidsoppgåvene det er (mest) behov for, i staden for dei integrerte som skal slurpe i seg det som fins av data i organisasjonen?

Det er definitivt verd å ta med i kalkuleringane, når arbeidet i organisasjonen skal effektiviserast, at det kan vere langt meir ressurskrevande å forvalte eit stort og komplekst verktøy, enn eit par små.

Og – kanskje litt pussig, men eit siste punkt:

5.  Ikkje hopp på KI-toget utan ein exit-strategi.

Ha ein klar plan for korleis verktøyet kan bli skrudd av, om nødvendig, før du slår det på.

Nederland har nyleg fraråda statlege verksemder å ta i bruk Copilot. Nokon vil kanskje påstå at vi i praksis gjer det samme. Men nei, teknologien har mykje bra i seg, og det handlar om å finne gode og praktiske tilnærmingar for å ta den i bruk på ein forsvarleg måte. Vår oppfordring er å gjere det i små og kontrollerte steg.

Men – dersom både dei som bygger KI-toget og passasjerane som kastar seg på er drevet av frykt for å ikkje vere fremst i toget, er det nok oppskrifta på ein ganske forutsigbar 💥 🙈

Personvernet vil lide dersom ei verksemd lar vere å innføre informasjonssikringstiltak.

Forbodet mot å overvake arbeidstakarars bruk av elektronisk utstyr ligg bortgøymt i ei ufullstendig forskrift. Datatilsynet har tatt initiativ overfor fleire departement for å løfte utfordringane med forskrifta. I mellomtida gjer vi det vi kan for å rettleie verksemder og arbeidstakarar.

Forskrifta med det noko misvisande namnet  «forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk materiale» inneheld eit forbod mot å overvake arbeidstakarars bruk av elektronisk utstyr, i andre avsnitt av paragraf 2. Når Datatilsynet møter bedrifter og offentlege aktørar, merkar vi at mange ikkje har høyrt om dette overvakingsforbodet. Vi er glade for at advokatane ved Thommessen har løfta dette ut av ekspertsirklane og over i ein offentleg debatt. Vi ønskjer å kome med vårt perspektiv i samtalen.

Vi er einig med advokatane ved Thommessen i at det er på tide å revidere den nemnde forskrifta. På grunnlag av erfaringane vi har gjort oss sidan forskrifta kom i 2018, føreslo vi i fjor endringar for Arbeids- og inkluderingsdepartementet. Vi har også tatt initiativ overfor både Justisdepartementet og Kommunal- og distriktsdepartementet for å løfte utfordringane med forskrifta. I denne dialogen er overvakingsforbodet eit sentralt tema. Medan endringsforslaga ligg hos lovgjevarane, vil vi i Datatilsynet gjere det vi kan, ved å rettleie verksemder og arbeidstakarar.

Formålet med forbodet i forskrifta er å gje norske arbeidstakarar eit større vern mot å bli overvaka av sjefen enn det som følgjer av den europeiske personvernforordninga (GDPR). Overvaking som skjer med formål å avdekkje eller oppklare «sikkerhetsbrudd i nettverket» er likevel tillate etter forskrifta, som eitt av to unntak. Vi støttar advokat Vanebos oppfatning om at verksemder kan gjennomføre viktige informasjonssikringstiltak innanfor dagens regelverk.

Personvernet vil lide dersom ei verksemd lar vere å innføre informasjonssikringstiltak. Eit eksempel kan vere logging for å oppklare cyberangrep, fordi leiinga er usikre på om tiltaket er lovleg.  Informasjonssikringstiltak tryggjer ikkje berre viktige verdiar for verksemdene, men også personopplysningane til tilsette, kundar, innbyggjarar og leverandørar. Informasjonssikring er påbode i GDPR, for å sikre at personopplysningar er tilgjengelege for dei som treng dei når dei treng dei og for at integriteten blir ivaretatt.

Datatilsynet arbeider med rettleiing

Vi arbeider allereie med eit utkast til rettleiing på Datatilsynet.no om overvakingsforbodet i e-postforskrifta paragraf 2. Der vil vi gje praktiske eksempel på korleis verksemder kan gå fram for å gjennomføre informasjonssikring, som inneber overvaking av arbeidstakarar.

Det vanskelegaste spørsmålet for oss er likevel kor grensa går for overvaking, når formålet ikkje er relatert til drift eller sikkerheit. Kor mykje kan ein leiar følgje med på arbeidsaktiviteten til dei tilsette før det blir rekna som overvaking? Arbeidsgjevarar kan ha mange andre gode formål enn informasjonssikring, for eksempel ressursallokering. Dersom ei slik kartlegging blir rekna som overvaking, er kartlegginga forbode etter dagens forskrift.

Dei siste åra har mange nye verkty kome på marknaden, som hentar inn store mengder informasjon, som analyserer korleis dei tilsette arbeider. Vi treng å drøfte konsekvensane av å bruke slike verkty i fellesskap. Planen er derfor at Datatilsynet skal leggje utkastet til rettleiar på høyring, slik at alle som ønskjer kan gje innspel.

Meir praktisk og relevant rettleiing er ein sentral del av Datatilsynets nye satsing. Vi vil i løpet av våren ta kontakt med ei rekkje aktørar for å få høyre kva vi i Datatilsynet kan gjere for at aktørane på enklast mogleg måte kan overhalde personvernreglane. 

Heilt til slutt minner vi om at arbeidsgjevarane må følgje reglane i GDPR , sjølv om eit informasjonssikringstiltak er innanfor unntaket om sikkerheitsbrot i e-postforskrifta. Dagens tips til verksemder som ønskjer å ta i bruk teknologi som kartlegg tilsette er

• Vurder personvernkonsekvensane for dei tilsette (GDPR art. 35)
• Gi god informasjon til dei tilsette

Dette innlegget ble først publisert i NRK Ytring 25.10.2022. Innlegget er skrevet av juridisk senirorådgiver Jan Henrik Mjønes Nielsen og direktør Line Coll i Datatilsynet.

På NRK Ytring har det vært en debatt mellom forsvarsminister Bjørn Arild Gram og Tekna. Det ble da spurt om det foreslåtte systemet for avdekking av digitale trusler, såkalt tilrettelagt innhenting, er å regne som digital masseovervåking.

Det klare svaret er ja.

Da Datatilsynet først vurderte forslaget i 2018, konkluderte vi med at det riktige begrepet var digital masseovervåking. Det er fordi det best forklarer hva systemet er og hvilke konsekvenser det har. Systemet vil utilsiktet fange opp store deler av norske borgeres internettkommunikasjon.

Etterretningstjenesten vil ende opp i dilemmaet om hva de skal gjøre med kunnskap om en trussel de ikke skal ha lov til å vite noe om.

Datatilsynet mener at loven må endres

Datatilsynets analyse baserer seg på grunnleggende samfunnsteorier om makt. Disse kan sammenfattes i det kjente utsagnet «kunnskap er makt». Et inngrep fra myndighetene i privatlivet resulterer i kunnskap, som igjen medfører en overføring av makt fra individet til staten.

Denne endringen i maktbalansen påvirker i hvilken grad vi våger å bruke internett til å hente kunnskap og utveksle meninger.

I Personvernundersøkelsen 2019/2020 svarte 13 prosent at de har unnlatt å søke på nett på grunn av usikkerhet knyttet til om myndighetene har tilgang til informasjonen.

Det er åpenbart at det norske systemet fraviker kravene fra menneskerettighetsdomstolen.

Det er derfor avgjørende å forstå at overvåkingspotensialet oppstår allerede ved innsamlingen, og at lagringen omfatter nesten alle norske borgere. Dette er digital masseovervåking. Systemet vil utilsiktet fange opp store deler av norske borgeres internettkommunikasjon.

Systemet fraviker kravene fra menneskerettsdomstolen

Menneskerettighetsdomstolen stiller et sentralt krav til hemmelige overvåkingssystemer: Nemlig at systemet skal være underlagt uavhengig forhåndskontroll i alle ledd. Før innsamling begynner, må grunnlaget vurderes av en uavhengig instans. Det er derfor åpenbart at det norske systemet fraviker kravene fra menneskerettighetsdomstolen.

Loven legger opp til at det skal gjøres en maskinell test og analyse av kommunikasjonsstrømmene for å finne relevant utenlandsetterretnings-informasjon før domstolen har godkjent søk.

Så hva betyr «maskinell test og analyse»? Det er grunn til å anta at Etterretningstjenesten i det minste vil bruke verktøy som er vanlig tilgjengelig – som søkemotorer, stordataanalyse og løsninger basert på maskinlæring og kunstig intelligens.

Ifølge EOS-utvalgets høringsuttalelse gjøres det en«etterretningsfaglig vurdering».

Mye av skaden er derfor allerede skjedd når domstolen skal ta stilling til ytterligere søk i et materiale som allerede er gjennomsøkt.

Det er liten grunn til å tro at domstolskontrollen blir reell, fordi den vil komme på et for sent tidspunkt. Datatilsynet mener derfor at loven må endres.

Stortinget må sikre at vi får de nødvendige mekanismene for rettssikkerhet, slik at loven ikke virker negativt inn på friheten vår og vårt demokratiske samfunn.

Om lag 20 prosent av befolkningen er under 18 år. Dagens digitale virkelighet er at persondata samles inn, analyseres, deles, gjenbrukes, selges og kjøpes i et tempo som det er umulig å ha oversikt over – aller minst for barna selv.

Men hvem har ansvaret for hva som skjer med barnas opplysninger i skolen? I utgangspunktet er det den enkelte kommune og skole som er ansvarlig for å vurdere digitale løsninger som tas i bruk. Dette er imidlertid en svært krevende jobb, særlig for små kommuner. Natalia Kucirkova og Trond Furenes Ingebretsen har mange gode poenger i sin kronikk i Aftenposten om behovet for tryggere digitale læremidler i skoler og innebygget personvern. Datatilsynet mener, i likhet med forfatterne, at det er på høy tid med en tydelig strategi og samordning på nasjonalt nivå. Vi løper en stor risiko ved å overlate vurderingene til hver enkelt kommune.

Vi trenger en samlet nasjonal strategi som hever blikket, kartlegger terrenget og aktørbildet, og ansvarliggjør allede relevante aktørene.

Store utfordringer i skolen

Mange kommuner bruker Google sine løsninger i grunnskolen. Foresatte melder stadig inn personvernbekymringer til Datatilsynet. Vi har tidligere sett nærmere på tre kommuner som har tatt i bruk Google Chromebook og Workspace, og det ble avdekket betydelige mangler. Kommunene fikk en irettesettelse fordi de ikke hadde god nok  oversikt over hvilke data som samles inn og hva de brukes til. Informasjonen til foresatte var også mangelfull. Etter disse sakene  laget vi veiledning med tips og råd til nytte for alle kommuner. Men vi er langt fra i mål. Problemstillingene i disse sakene viser trolig bare toppen av isfjellet.

Vi ser at Helsingør kommune har nedlagt forbud mot bruk av Workspace i skolen. Det danske datatilsynet fant ut at kommunen ikke hadde gjort en grundig nok risikovurdering av hva som ville skje med elevenes personopplysninger ved bruk av løsningen. Saken er en betimelig påminnelse om hvor viktig det er å gjøre gode nok vurderinger med tanke på de unges personvern. I dag er det hver enkelt kommune og skoles ansvar å gjennomføre risikovurderinger. Det krever mye ressursbruk. Mye av forarbeidet bør kunne gjøres samlet, og så kan kommunene selv kvalitetssikre og gjøre vurderinger basert på deres situasjon.

Ønsker sterkere regulering

Vi er mange som ønsker en sterkere regulering, og i Europa er det bevegelse. Med Digital Service Act innføres et forbud mot å målrette markedsføring til barn basert på profilering av dem. Det kan potensielt påvirke datainnsamlingen i positiv retning. Samtidig er det ikke gitt at dette løser alt. Det kan være at virksomhetene fremdeles vil samle inn dataene til andre formål eller at de kan finne på å lagre dem til barna fyller 18 og så bruke det til markedsføring.

Til sammen bruker skolene mange tusen ulike fagsystemer, digitale læremidler, apper og ulike kommunikasjonsløsninger hver eneste dag. Dette er systemer som samler inn store mengder opplysninger om elevene, og om lærerne. Persondataene blir raskt gjenstand for det enorme annonsemarkedet som flere selskaper baserer sin forretningsmodell på.

Det er et tankekors at det offentlige i så stor grad er med på å sende ut data om barna våre til andre aktører og andre land, uten at det er gjort en god nok vurdering av hva som skjer med personopplysningene deres. Vi trenger en samlet nasjonal strategi som hever blikket, kartlegger terrenget og aktørbildet, og ansvarliggjør allede relevante aktørene.  Rett før sommeren fikk kunnskapsminister Tonje Brenna overlevert en rapport fra en ekspertgruppe om digital læringsanalyse. Rapporten belyser dilemmaer i møtet mellom digitale læremidler og utdanning. Personvern bør komme sterkt inn i bildet i regjeringens videre arbeid med digitale løsninger i skolen.

Denne kronikken ble publisert av Aftenposten 28. juli 2022

—-

Personvern i skolen er noe Datatilsynet har vært opptatt av i mange år. Tidligere direktør Bjørn Erik Thon var engasjert i mange ulike problemstillinger, og holdt flere foredrag og skrev en rekke innlegg om temaet. Allerede i 2020 sa han: Datatilsynet mener det haster med å få på plass en nasjonal strategi for personvern og sikkerhet i grunnskolen og videregående skole i Norge. Vi har ingen tid å miste. Et godt læringsmiljø og en trygg skolehverdag i 2020 betyr også at våre barns personopplysninger behandles på en forsvarlig og trygg måte, i tråd med regelverket.

Her er noen lenker, god lesing!
En trygg digital oppvekst – Personvernbloggen

Foreldrenes rolle i barnas digitale liv – Personvernbloggen

Digitaliseringen av skolesektoren krenker elevenes personvern – Personvernbloggen

Ståle Lindblad sparker i alle retninger i innlegget sitt mot Datatilsynet og Facebook-rapporten vi publiserte. Ikke bare er han uenig i de faglige vurderingene våre og konklusjonen vi kommer frem til som behandlingsansvarlig. Han mener også at rapporten avdekker «fullstendig mangel på kompetanse» hos landets personvernmyndighet, og at rapporten er verdiløs.

Vi mottar gjerne innspill om hvordan vi kan forbedre oss. Anklagene hans om at vi lider av fullstendig kompetansemangel fremstår imidlertid som useriøse, uprofesjonelle og ikke minst uholdbare. Når anklagene er så svakt faglig forankret som de er, er det vanskelig å la dem bli stående helt uimotsagt.

EU-dommer viser felles behandlingsansvar

Lindblad foretar ingen grundig analyse av dommene, og han trekker heller ikke inn andre rettskilder. Vi mener han har utelatt sentrale deler av dommene fra innlegget sitt.

EU-domstolen har sagt at man har felles behandlingsansvar for behandling av personopplysninger om brukere av en Facebook-side. Videre peker domstolen på at denne behandlingen innebærer at opplysningene om sidens følgere og besøkende brukes til å forbedre Facebooks markedsføringssystem. Vi vet ikke med tilstrekkelig detalj hvordan dette skjer eller hva det innebærer, og vi synes ikke at vi kan underslå denne uvissheten. Dette er bakgrunnen for vurderingene vi har gjort som behandlingsansvarlig.

Vurdering og dokumentasjon

Lindblad sier at vi mener og synser uten dokumentasjon. Slik er det ikke. Vi har gjort en grundig vurdering der vi har innhentet informasjon, beskrevet verktøyet systematisk og vurdert dette opp mot kravene i loven. Det er ingen tvil om at vi, gjennom DPIA-en vår, har dokumentert at vi faktisk ikke vet nok om hva som skjer med dataene til Facebook-brukere.

Uansett er det ironisk at Lindblad prøver å kontrastere «enkle» Facebook med kunstig intelligens, når vi vet at selskapet bruker kunstig intelligens i utstrakt grad, og har de kraftigste algoritmene i verden med størst CPU.

Vi vet at mange virksomheter legger mye jobb i egne risikovurderinger. Den etterfølgende debatten åpner for en rekke spørsmål og dilemmaer om teknologi, jus, etikk og samfunn. Antallet perspektiver man kan «forstå» Meta på, fra behandling av data til demokrati, sosiale relasjoner eller mental helse, er mange. Vi ser generelt at personvernperspektivet og ansvaret den enkelte virksomhet har, nå kommer tydeligere fram. Det er bra, og vi imøteser alltid en saklig debatt.

Når en virksomhet har hatt et datainnbrudd eller blitt hacket, har den ikke da allerede fått sin straff? På mange måter er svaret ja. Det er et krevende arbeid for en virksomhet og for de ansatte når man blir utsatt for et angrep. Først må virksomheten finne ut hva som er skjedd, hvordan det skjedde og hva som var angriperens metode. Har trusselaktøren fremdeles fotfeste inne i virksomheten? Var det et målrettet angrep? Hva fikk trusselaktøren tak i av verdier? Samtidig ønsker man seg tilbake til normal drift så fort som mulig. Det er kaotisk når en virksomhet blir truffet av et dataangrep.

Datatilsynet ser på den som er ansvarlig for personopplysningene

Når alvorlige angrep oppstår, blir ofte politiet, politiets sikkerhetstjeneste (PST), etterretningstjenestene og/eller Nasjonal sikkerhetsmyndighet (NSM) tilkalt for å bistå til oppklaring og eventuelt starte sin etterforskning. Politi, e-tjenesten og PST har ansvaret for å etterforske trusselaktøren, som har angrepet virksomheten. I dette arbeidet har ikke Datatilsynet en aktiv rolle, men blir en rådgiver for virksomheten, dersom personopplysninger er involvert.

I vårt arbeid fokuserer ikke Datatilsynet på trusselaktøren, verken om den er en vinningskriminell, statlig aktør, innsider, internt ansatt, aktivist eller hacktivist, sabotør eller annet.

Vår oppgave er å se på den som er ansvarlig for personopplysningene. Vi undersøker for eksempel hvor godt den ansvarlige har sikret dine og mine personopplysninger mot ulike sårbarheter forut for og i etterkant av hendelsen, uansett trusselaktør.

Vår fokus er borgernes perspektiv, om du er skoleelev, ansatt, innsatt, publikum, pasient, medlem i en forening, familiefar eller nabo. Hvordan har virksomheten som forvalter våre personopplysninger ivaretatt sitt ansvar og forpliktelser? Hvordan var sikkerhetstilstanden rundt personopplysningene hos virksomheten når angrepet oppstod? Var det etablert et styringssystem for personvern og informasjonssikkerhet, der ledelsen hadde gitt føringer og vist tydelig ansvar? Hadde virksomheten identifisert hvilke personopplysninger de forvalter? Hadde de identifisert hvilke trusler som de kunne bli utsatt for, avdekket hvor sårbar virksomheten og iverksatt tiltak som skulle redusere sårbarheten? Hadde virksomheten utarbeidet beredskapsplaner? Var det etablert et system for hendelseshåndtering i virksomheten? Særlig kategorier personopplysninger og personopplysninger relatert til sårbare grupper krever større beskyttelsesvern enn vanlig personopplysninger.

I Datatilsynets oppfølging av brudd på personopplysningssikkerheten vurderer vi iverksatte tiltak og hvor effektive disse tiltakene er.

Få gebyrsaker, men alvorlige

I de mest alvorlige sakene kan det være aktuelt å ilegge overtredelsesgebyr. Rammene for Datatilsynets myndighet følger av personvernforordningen, som sier at overtredelsesgebyrer skal vurderes for hvert enkelt tilfelle, være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende.

I fjor fikk Datatilsynet fikk inn mer enn 2200 avvik, men vi gav bare gebyr i 9 avviksaker, det vil si under 0,5 %. Det betyr at når Datatilsynet faktisk ilegger gebyr så er saken av en slik karakter at den skiller seg ut. Gebyrsakene kjennetegnes av at det har stått dårlig til med sikkerheten i den virksomheten som forvalter mine og dine personopplysninger når sikkerhetshendelsen inntraff, uansett angriper eller årsak til hendelsen.

Enkelte hevder at virksomheter som utsettes for hackerangrep, ikke bør ilegges gebyr, og at de allerede har fått sin straff. Datatilsynets gebyr legger bare en ekstra byrde til virksomheter det allerede er synd på. Datatilsynet har stor sympati for vanskelighetene slike angrep skaper for de som blir rammet. Vi mener likevel at våre gebyrer er virkningsfulle og virker preventivt og opplærende for andre som er i tilsvarende risikosituasjon.

Vi ønsker debatten velkommen, den resulterer i ytterligere spredning av viktigheten av å sikre personopplysninger på en skikkelig måte – og samtidig styrke vår vurdering av virkningen av våre vedtak om gebyrer i de mest alvorlige sakene.

Etter vår mening er det oss som borgere det er synd på, fordi de som skulle beskytte våre personopplysninger ikke gjorde det.

(Dette innlegget ble først publisert på digi.no 16. mars 2022.)

Det var Abid Raja som skjulte seg inni NRKs nissedrakt, men verden er full av nisser. Er du en av dem? Ikke? Tja, vi får se på det. Det er en viss fare for at du kan føle deg avkledd, om du leser videre. Men ikke stopp! Det vil være verdt det. Etterpå kommer du til å gjøre noe smart.

I disse dager, hvor vi forsøker å balansere mellom effektiv julehandel og nye koronavirusvarianter, velger stadig flere av oss å gjøre julehandelen på internett. (Ingen ønsker vel omikron som julemiddagsgjest). Vi er på kort tid innom et stort antall nettbutikker for å handle gaver og bestille julemat og julepynt. I tillegg er det avgjørende å få dokumentert all denne julekosen på sosiale medier, hvor vi snør inne i stemningsfulle oppdateringer om julepyntede hus, lykkelige familiesamlinger og familiehunder utkledd som Rudolf. Med andre ord –vår digitale aktivitet intensiveres. Det meste av denne aktiviteten krever innlogging med brukernavn og passord, for å være helt sikker på at du faktisk er deg, og for at betalingsinformasjonen du oppgir skal bli tatt godt vare på. Muligheten for å bidra til å beskytte deg selv og dine data ligger derfor rett foran deg! Men i effektivitetens (og latskapens) navn forsøker vi å gjøre all denne tidkrevende innloggingen så enkel for oss selv som mulig. Ingen er vel interessert i hva jeg har handlet på Zalando uansett?

Hva er ditt favorittpassord?

Så vi gjenbruker våre enkle favorittpassord for å slippe å komme i den kjedelige situasjonen hvor vi må trykke «glemt passord». Juleinnkjop2020 oppgraderes til Juleinnkjop2021, Vinter2019 får holde et par år til, og Emilie21092001 går jo aldri ut på dato.

Er det ikke også slik at mye av julehandelen foregår i ledige stunder mellom digitale møter og andre jobbaktiviteter? På den bærbare pc-en, mens du er innlogget på jobbens interne nettverk via fjernaksessløsninger? Og du gjenbruker kanskje også de samme enkle passordene her? Eller?

I rapporten Risiko 2021 forklarer Nasjonal Sikkerhetsmyndighet (NSM) hvordan gjenbruk av passord mellom brukerkonti med ulikt tilgangsnivå eller gjenbruk av passord på private og jobbrelaterte konti, svekker virksomhetenes sikkerhet.

Microsoft har gjennomført en studie som viser at rundt 44 millioner brukere gjenbruker passordene fra og med 2020. I 2019 viste en studie at rundt 72 prosent av brukerne resirkulerte eller gjenbrukte passordene sine. 63 prosent av disse brukerne brukte nøyaktig samme passord for alle sine kontoer. (Les om studien på TechRadar: Millions of Microsoft users are reusing passwords | TechRadar)

Passordhumor

Komikeren Michael McIntyre harselerer med intens innlevelse i en Netflix-spesial om folks forhold til passord. Han mimrer om internettets liberale barndom, da det var fritt frem for oss å ha et passord med bare små bokstaver. Etter hvert som internettet ble mer populært, begynte virksomhetene der ute å legge føringer for passordene. Vi måtte ha minst én stor bokstav. Det ble som regel den første bokstaven i passordet vi allerede hadde. Så måtte vi ha tall, og alle plasserte et 1-tall etter det gamle passordet. Og når det etter hvert kom krav om minst ett spesialtegn, landet alles øyner på utropstegnet. Det passer fint til slutt, bak vårt kjære, trofaste passord. Hvordan kan det være så morsomt at salen bryter sammen i latter av en komikers passe unyanserte gjennomgang av passordhistorien? Fordi skremmende mange kjenner seg igjen i fortellingen.

Hackere har gjennom lang erfaring og analysering av våre passord-uvaner opparbeidet seg lister over våre 100, 1000 og kanskje 10 000 mest brukte passord. Disse passordlistene benyttes i målrettede og automatiserte angrep mot et stort antall virksomheter og privatpersoner samtidig – og kontinuerlig! Finnes ditt enkle passord på denne listen, er både du og muligens din arbeidsgiver et lett bytte for angriperne.

NCSC (Nasjonalt cybersikkerhetssenter) utførte en studie på villige organisasjoner for å teste hvor mottakelige de var for slike angrep. 75 prosent av organisasjonene hadde minst én konto, som brukte et av topp 1000-passordene. 87 prosent hadde minst én konto med et passord i topp 10 000.

Det svakeste leddet

NSM skriver at svake passord fremdeles er den letteste veien inn i virksomheters systemer. De rapporterer om utstrakte funn av korte passord som er lette å gjette, eller som lar seg knekke med automatiserte angrep. Som «Sommer2020» og «September2020». Jeg anbefaler å ta en kikk på NSMs tips for passord.

Microsoft uttaler at 99,9 prosent av alle identitetsrelaterte angrep kan stoppes ved bruk av tofaktorautentisering. Det betyr at man i tillegg til ordinært brukernavn og passord, benytter en ekstra «faktor», som bank-id eller SMS-kode på telefonen for å bevise sin identitet under påloggingen.

NSM anbefaler alle privatpersoner og virksomheter å innføre en slik ekstra autentisering der det er teknisk mulig.

Ligg unna lenka!

Vår uforsiktige og makelige uvane med å opprette og gjenbruke enkle passord, er ikke den eneste faren. Fremdeles blir vi urovekkende ofte forsøkt «fralurt» personlig informasjon, særlig påloggingsinformasjon og bank- og kontoinformasjon, fra angripere som utgir seg for å være noen som kunne ha vært en del av ditt nettverk.

På sosiale medier deler vi informasjon om hvem som er vår arbeidsgiver, hvor vi bor, hvem vi er i familie med, hvilket fotballag vi heier på eller hvilke organisasjoner og innsamlingsaksjoner vi donerer penger til. Alt dette er informasjon som kan brukes til å skreddersy et angrep nettopp mot deg. Vi hører stadig oftere om svindelforsøk hvor angriperne benytter eposter og SMS-er for å lure deg til å oppgi informasjon.

Telenor advarte nylig om et massivt svindelforsøk i forbindelse med at deres mobilkunder fikk en tekstmelding, der de ble bedt om å laste ned en applikasjon for å høre talebeskjeder. Hvis man lastet den ned, vil man få et virus på mobilen som gir kriminelle tilgang til å plukke opp brukernavn, passord, betalingsinformasjon, kontaktlisten din og andre personlige opplysninger som kan brukes til ytterligere svindelforsøk.

Også Oslo kommune måtte nylig advare mot falske SMS-er i forbindelse med 3 vaksinedose. I disse tekstmeldingene ble man bedt om å oppgi personnummer og navn. Ikke helt unaturlig i disse tider?

Og har du mottatt gunstige Black Friday-tilbud på epost, gjerne fra en kjent nettbutikk, og klikket på en lenke og bestilt varer? Du sjekket vel om nettsiden var den ekte?   

Kan du stole på IT-sjefen?

Angrepene blir stadig mer komplekse og vanskelige å oppdage for de fleste av oss. I det siste har det til og med dukket opp angrep hvor angriper utgir seg for å være IKT-avdelingen hos din arbeidsgiver. I en epost eller SMS ber de deg om å oppdatere ditt passord som et nødvendig tiltak etter en sikkerhetsoppdatering. Hadde du hatt samvittighet til å la være?

Ved å utgi seg for å være en troverdig avsender, er det større sannsynlighet for at vi lar oss lure til å åpne et vedlegg eller klikke på en lenke. Vanlige svindelmetoder og hva du kan gjøre for å oppdage og avverge dem, kan du blant annet lese mer om på Nettsvindel – Politiet.no.

Hvor ille kan det gå?

Men hackerne har da ingen interesse av meg? Eller den lille kommunen jeg jobber i? Spør Østre Toten! Der ble kommunen utsatt for datainnbrudd og krevd for løsepenger. De hadde ikke tilgang til sine egne datasystemer og saksarkiv, og store mengder dokumenter havnet på avveie. Innbruddet fikk både driften og økonomien til kommunen ned i knestående. Og Datatilsynet til å reagere.

I 90-tallsfilmene skjedde datainnbrudd ved at kriminelle først hadde brutt seg fysisk inn på arbeidsplassen, så fant de lappen med passord som lå skjult under tastaturet. Voilá! Så dumme er vi ikke lenger, tenker vi selvtilfreds. Vi gjemmer heller passordene våre i et notat på telefonen. Vel, da er det faktisk smartere å gjøre som idiotene i 90-tallsfilmene. (Ikke at jeg skal oppfordre til å legge lapp under tastaturet, altså!) For det er langt større fare for digitale innbrudd enn fysiske.

Føler du deg avkledd nå?

Om det er en trøst, du er ikke alene. Men det er et selskap du ikke vil være en del av.

Cyberangrep er stadig i overskriftene, og det er berre å innsjå det – vi menneske er det svakaste leddet. Nokon av oss klikkar febrilsk unna alle varselboksar som poppar opp, og jobbar uforstyrra vidare. Nokon deler villig vekk persondata på ukjente sider. Andre har innsikt i farane der ute, men med oppblåst, digital sjølvtillit hoppar dei over it-sjefens kurs for alle i bedrifta. Det er som regel gammalt nytt. Våre forkunnskapar om og interesser for informasjonssikring er forskjellige. Det er utfordrande for dei som prøvar å førebyggje mot cyberangrep og phishing. Korleis kan vi lage ei opplæring som funkar?

Å gjere informasjonssikring interessant

Kva om vi kunne få til spesialtilpassa opplæring på jobb, for å sikre oss mot både sosial manipulasjon og «hacking»? Ei opplæring som treff oss med akkurat dei tiltaka vi treng, og med pedagogiske triks som gjer oss motivert til å lære? Det er muleg. Det er berre ein liten hake ved det. All denne informasjonen som trengs for å vite kva som funkar på akkurat deg – kven skal ha tilgang til den?

Ville du hatt tillit til at sjefen ikkje brukte slike sensitive data, som var meint for tilpassing av opplæringa, for å fordele opprykk og spennande prosjekt? Eller enda verre – som påskott for å bli kvitt upopulære medarbeidarar? Korleis kan dei som utviklar og bruker kunstig intelligens gå fram for å vinne tillit frå tilsette? Dette er nokre av spørsmåla Secure Practice har utforska ilag med Datatilsynet i sandkassa for kunstig intelligens.

Kunstig intelligent, ekte kjent

For å få spesialtilpassa opplæring, må vi først bli kartlagt. Verktyet som Secure Practice utviklar bruker maskinlæring – ei form for kunstig intelligens – for å samle og samanstille informasjon om dei tilsette i ei verksemd.

I verktyet kan tilsette for det første svare på spørsmål om kunnskap og vanar innanfor  informasjonssikring. For det andre kan verktyet byggje på erfaring frå testar, som til dømes simulert phishing. Phishing er ei form for sosial manipulering, der cyberkriminelle for eksempel prøver å lure folk til å trykkje på ei skadeleg lenkje i ein e -post. Simulert phishing er som ei brannøving, der verksemda sender liknande e-post til dei tilsette, men i kontrollerte former. Om ein tilsett klikkar på lenkja eller ikkje, seier noko om kor medviten den enkelte tilsette er om informasjonssikring.

Den samanstilte informasjonen blir deretter brukt til å kalkulere ein risikokategori for kvar enkelt tilsett. Kva for risikokategori den tilsette hamnar i, avgjer kva for opplæring han eller ho får tilbod om.

Tillit må til

Stoler du ikkje på KI-verktyet, vil du kanskje føle deg overvaka. Du kan vegre deg for å for å svare ærleg på spørsmål i kartlegginga. Kanskje vil du også bruke retten du har i personvernforordninga til å protestere mot kartlegginga. Alt dette verkar inn på om det er lovleg å bruke verktyet.

Arbeidsgjevaren kan nemleg berre behandle personopplysningane om deg dersom opplysningane er eigna og nødvendige for å oppnå målet om betre opplæring i informasjonssikring. I tillegg må interessene til informasjonssikring vege tyngre enn dei tilsettes personvern. Protesterer du, krevst det enda meir overvekt for omsynet til informasjonssikring, halde opp mot ditt personvern.

Korleis vinne tillit frå dei tilsette?

For det første må du ha eit system som fortener tillit. Tenestetilbydarar og arbeidsgjevarar må lage gode kontraktar. Det er grunnleggjande å avtale kven som har ansvaret for at KI-systemet blir brukt på ein måte som oppfyller krava i personvernregelverket. Er det arbeidsgjevarane, tenestetilbydarane eller begge i fellesskap? I prosjektet vårt var det dessutan viktig å finne ut kven som skulle ha tilgang til personopplysningane som blir samla inn om den enkelte tilsette. Dei tilsette ville vere betre beskytta, dersom berre tenestetilbydaren skulle handtere desse opplysningane. Kanskje er det ikkje så avgjerande om du stolar på sjefen, dersom du har tillit til tenesteytaren og programvaren?

I tillegg til gode avtalar trengst det tekniske tiltak for å hindre at uvedkomande får tilgang til opplysningane om dei enkelte. Informasjonen om tilsettes svake punkt er gull verdt for “vondsinna” aktørar. Her er pseudonymisering, kryptering og tilgangsstyring nyttige stikkord.

Faren for falsk tryggleik

Men det hjelper veldig lite med verdas sikraste system om ikkje dei tilsette skjønar det eller stoler på det. Dei tilsette må få informasjon om korleis ansvaret er fordelt og korleis opplysningane om dei blir brukt. Informasjonen må vere lett tilgjengeleg og formulert på ein enkel og klar måte.

I prosjektet har vi spurt fokusgrupper med ulik bakgrunn korleis dei ønskjer å få informasjon. Vi erfarte at ikkje all openheit var god. Dersom verktyet for eksempel forklarte nivået på opplæringa med at den tilsette tidlegare var blitt lurt i ein test, kunne det skape irritasjon og stå i vegen for vidare læring.

Vi spurde også kva for informasjon dei var villig til å gi frå seg. Det var store individuelle forskjellar. Somme var opptatt av at opplysningane om dei tilsette vart godt sikra mot tilgang frå arbeidsgjevaren, og at tilsette burde få uttale seg før verktyet vart tatt i bruk. Andre framheva at dei måtte forstå målet med verktyet og korleis det verkar, for å svare ærleg.

Og uærlege svar er rusk i det finstemte KI-maskineriet. Nøkkelen til kunstig intelligens som verkeleg verkar er tillit. Tonnevis med tillit.

Dagens tips frå sandkassa:

Ikkje ta lett på kommunikasjonen med dei tilsette. Den er avgjerande for tilitten. Som er avgjerande for at verktyet verkar.

• Sluttrapporten frå sandkasseprosjektet med Secure Practice skal vere ferdig og bli publisert i november. Då vil du finne den på Sandkassesiden.
• Hald deg oppdatert på kva som skjer i sandkassa, søknadsfristar og arrangement ved å abonnere på sandkassas eige nyhendebrev: Sandkassebrevet.
• Vil du lese meir om korleis svindlarane går fram? Sjå Koronasvindlerne – Personvernbloggen.

Ut av hjemmekontorvinduet ser jeg en myk ås formet gjennom sikkert millioner av år (forbehold: jeg er ikke geolog). Så skifter jeg fokus til PC-skjermen og ser en taggete epostinnboks formet av et år med Schrems II-dommen. «Skal vi slutte med digitalisering?» «Er det ikke bedre å dele data med amerikanerne hvis det gir oss bedre sikkerhet mot ondsinnede hackere?» «I can haz risikovurdering?!»

Spørsmålene er mange. Forhåpentligvis kan den nye veilederen vår pense tanken inn på rett spor. Dessuten har vi allerede noen planer for hvordan vi kan gjøre neste versjon av veilederen bedre og mer til hjelp. Uansett håper vi det er nyttig at all informasjonen vår om tredjelandsoverføringer er samlet på ett sted og at informasjonen er oppdatert.

Veilederen finner du her: Overføring av personopplysninger ut av EØS | Datatilsynet

Hva er greia?

Schrems II-dommen er en dom fra EU-domstolen. Dommen handler om mange ting, men det mest sentrale er at det skal mer til for å overføre personopplysninger ut av EØS nå enn før. I tillegg til å ha papirarbeidet på plass, må virksomheter vurdere beskyttelsesnivået for personopplysninger i landene som data flyter til. Hvis beskyttelsesnivået i praksis er lavere enn i EØS, må man iverksette ytterligere tiltak hvis mulig eller la være å overføre.

Mange har nok håpet at man kan ha en risikobasert tilnærming til tredjelandsoverføringer. Det dommen sier, er imidlertid at man må foreta en helthetsvurdering. En helhetsvurdering kan gi handlingsrom, men det er ikke det samme som en risikovurdering.

Som min gamle kjemilærer pleide å si: «If you’re not confused, you’re not paying attention.»

Europeisk enhet

Veilederen vår er i tråd med anbefalingene til Det europeiske personvernrådet, eller EDPB. Ett av hovedmålene med GDPR er at vi skal tolke regelverket likt i hele Europa. Det er nettopp dette som er EDPBs oppgave: Å sørge for at tilsynsmyndighetene i EØS håndhever loven på samme måte. At vi skal tolke EU-lover likt som i Europa er også en sentral forutsetning i EØS-avtalen. Derfor er vi lojale mot EDPB.

Veiledere er av natur bare veiledende. Samtidig er veilederne fra Datatilsynet og EDPB uttrykk for hvordan vi vil tolke lover og dommer når vi kommer på tilsyn, enten saken er grenseoverskridende eller ikke. Hvis man med vilje viker fra disse veilederne, må man også være forberedt på at man kan bli ilagt forbud og sanksjoner. Hvis man tar noen snarveier, er det fort gjort å gå feil og ende opp tilbake der man begynte. Med andre ord tar man en risiko hvis man velger sin egen vei.

Menneskerettigheter til besvær

Når vi skal forstå Schrems II-dommen, er det viktig å huske at den handler om menneskerettigheter. Å opprettholde menneskerettigheter er nesten alltid vanskelig og ofte litt vondt. EU-domstolen mener at vi har tolket GDPR feil frem til nå. Vi har gjort oss veldig avhengige av ting vi nå må endre eller kutte ut. Hvis ikke bryter vi personvernet.

Norske og europeiske virksomheter sliter med å finne gode alternativer til dagens løsninger. Ofte tilbyr store, amerikanske tjenester bedre informasjonssikkerhet enn de små, europeiske. Derfor føler mange at man må velge mellom pest eller kolera (eventuelt pesto eller cola, sier Tobias, som ikke liker noen av delene).

Vi forstår godt at de fleste virksomhetene ikke er i mål ennå og at omstilling tar tid. Det viktigste for oss er at man er godt i gang med vurderingene og at man i alle fall har plukket lavthengende frukt. Det er nok naturlig å se på Schrems II som et noe mer langsiktig prosjekt. Kanskje kan Schrems II-dommen gi grobunn for mer europeisk innovasjon på sikt? Kanskje vil dette bidra til å opprettholde høy tillit til digitale tjenester i Europa? Helt sikkert er det at presset som europeiske virksomheter legger på amerikanske leverandører, har nådd Det hvite hus. Ryktene vil ha det til at amerikanske myndigheter nå ønsker en politisk avtale med EU om å få på plass en ordning for overføring av personopplysninger til USA innen året er omme.

Mange har dratt seg i håret i frustrasjon over hvor vag GDPR kan være. Dagen man slutter å dra seg i håret over GDPR er dagen man ikke har mer hår igjen. Til gjengjeld kan vi ta på tupeene våre i et ganske fritt samfunn der vi kan mene, interagere, stemme og leve som vi vil.