1. Kan vi bruke personopplysninger i KI-løsningen?

Et spørsmål som går igjen i Datatilsynets sandkasse er: Har vi lov til å bruke personopplysninger i løsningen vår?

Svaret er som regel: Det kommer an på.

For at behandlingen av personopplysninger skal være lovlig, må virksomheten ha et rettslig grunnlag, også ved utvikling av kunstig intelligens. Dette er i tråd med personvernforordningen artikkel seks.

Kunstig intelligens omfatter ofte flere faser: utvikling, anvendelse (bruken av selve løsningen) og etterlæring. Disse fasene kan overlappe, noe som gjør det krevende å avgjøre når én fase slutter og en annen begynner. Og selv om virksomheten har rettslig grunnlag for én fase, betyr det ikke nødvendigvis at dette grunnlaget dekker andre faser.

Vi møtte på denne problemstillingen sammen med NAV – i et av de første sandkasseprosjektene våre. Her kom vi frem til, at NAV hadde hjemmel i folketrygdloven til å behandle brukernes opplysninger for å yte tjenester. Loven er derimot ikke tydelig på om de kan bruke historiske data om sykemeldinger til trening av algoritmene.

En annen viktig læring, er at det er viktig å identifisere hvilke data som faktisk inneholder personopplysninger. I sandkasseprosjektet med Juridisk ABC kom vi frem til at de kunne nytte lovtekster, forskrifter, forarbeider og lignende juridiske kilder i den generative KI-løsningen for arbeidsrett. Det var ikke krav om rettslig grunnlag ganske enkelt fordi kildene ikke inneholdt personopplysninger. Derimot inneholdt dommer og kjennelser ofte omfattende mengder personopplysninger – som kan være svært sensitive for de som er involvert. Derfor måtte Juridisk ABC ha et rettslig grunnlag for å inkludere disse i KI-løsningen.

2. Er anonymisering løsningen?

Flere av virksomhetene i sandkassen har ønsket å anonymisere personopplysninger. Anonymiserte data er jo ikke omfattet av personvernregelverket, så det kan forenkle mye. Men – det har i praksis vist seg krevende å få til faktisk anonymisering.

Til tross for betydelige fremskritt innen anonymiseringsteknologi, som skal hindre identifisering av enkeltpersoner i datasett, har det parallelt vært en utvikling av analyseteknologi som øker risikoen for re-identifisering. Mer offentliggjøring av offentlige data har også gjort det mulig å sammenstille flere datapunkter fra ulike kilder, hvilket øker utfordringen.

I sandkassen har vi sett flere eksempler på bruk av ny teknologi for å redusere risikoen for re-identifisering. Finansvirksomheten Finterai ville bruke føderert læring for å kunne dele innsikt fra transaksjonshistorikk mellom banker – uten å eksponere opplysninger som kunne knyttes til enkeltpersoner.

Teknologiselskapet Mobai hadde en lignende tilnærming, men benyttet homomorfisk kryptering for å gjøre re-identifisering vanskeligere. Ved hjelp av denne teknologien kunne aktører analysere krypterte personopplysninger uten at de måtte dekrypteres. Dette skjer ved at de bevarer de egenskapene ved personopplysningene som de ønsker å bruke, og fjerner resten.

Personvernfremmende teknologier, som føderert læring og homomorfisk kryptering, markerer viktige skritt i riktig retning for å få til godt personvern i praksis. De bidrar ikke bare til å redusere risikoen for re-identifisering av personer som er i et KI-datasett. De gir også virksomheter bedre muligheter til å balansere innovasjon med personvern og informasjonssikkerhet.

3. Kan kunstig intelligens bidra til dataminimering?

Prinsippet om dataminimering kan ved første øyekast virke som en motpol til kunstig intelligens. Kunstig intelligens trenger store mengder personopplysninger for å lære. Prinsippet om dataminimering slår fast at du skal samle inn minst mulig personopplysninger – kun det som er nødvendig for å oppnå formålet.

I flere sandkasseprosjekter har vi utforsket dette tilsynelatende dilemmaet. For eksempel har vi i sammen med sikkerhetsselskapet Doorkeeper sett på hvordan KI-baserte overvåkingskameraer kan minimere innsamlingen av personopplysninger. Blant annet kan de sladde mennesker i videostrømmen eller aktivere løpende opptak kun når en spesifikk hendelse utløser det. Vi har også diskutert situasjoner man ikke vet hvilke opplysninger som er nødvendige før de har analysert data over tid. Er det brudd på dataminimeringsprinsippet, om det i ettertid viser seg at personopplysninger har blitt behandlet uten å være relevante? Vi har utforsket problemstillingen i sandkassen, men som i mange andre tilfeller vil svaret avhenge av den konkrete konteksten.

4. Hvordan skaper algoritmer urettferdighet?

Helsesektoren har vært godt representert i sandkassen, blant annet gjennom prosjekter med Helse Bergen og Ahus. Disse har fokusert på KI-løsninger som skulle forutsi hjertesvikt og peke ut pasienter med fare for rask reinnleggelse på sykehus.

Kunstig intelligens i helsesektoren reiser viktige spørsmål om algoritmeskjevheter, som kan føre til at pasientene blir diskriminert. I begge prosjektene var KI-verktøyene ment som beslutningsstøtte og ikke for å gjennomføre automatiserte avgjørelser uten menneskelig innblanding. Likevel, det er en utbredt forståelse for at kunstig intelligens kan videreføre og forsterke eksisterende diskriminering i samfunnet. I tilfeller hvor algoritmene kommer til feil vurdering av folks helse, kan dette ha alvorlige konsekvenser.

I Ahus-prosjektet så de at dårlig datakvalitet og feil i datagrunnlaget potensielt kunne resultere i uriktige og diskriminerende resultater. Og de så på forskjellige metoder for å avverge dette.

For virksomheter som vil avverge algoritmeskapt diskriminering, har Likestillings- og diskrimineringsombudet en nyttig veileder om innebygd diskrimineringsvern. Den er rettet mot de som er ansvarlige for utvikling, anskaffelse og bruk av ML-systemer, og skal gjøre dem kjent med diskrimineringsregelverket, slik at de kan forebygge ved å vurdere diskrimineringsrisikoen teknologien medfører.

5. Hvem har ansvaret: utvikler eller kunde?

I flere sandkasseprosjekter har vi diskutert ansvarsforhold knyttet til behandlingen av personopplysninger i KI-løsninger: Hvem er behandlingsansvarlig? Hvem er databehandler? Og bør utviklere ta et større ansvar for å hjelpe virksomheter med å etterleve personvernregelverket?

En leverandør har ikke nødvendigvis et direkte ansvar for at kjøperne av produktet følger personvernregelverket, når løsningen blir brukt til å samle inn og behandle personopplysninger. Likevel bør de levere løsninger som legger til rette for at kunden, som ofte er å regne som behandlingsansvarlig, kan overholde regelverket i praksis.

I noen tilfeller kan det også være hensiktsmessig at utviklere eller leverandører tar på seg mer ansvar, for å sikre viktige personvernhensyn. Dette kan for eksempel være knyttet til tilgangskontroll eller informasjonssikkerhet.

Et eksempel på at utvikleren tar mer ansvar for å forbedre personvernet, ser vi i prosjektet med Secure Practice. Denne teknologivirksomheten hadde som mål å gi persontilpasset opplæring i cybersikkerhet. Sikkerhetsopplæringen var ment for ansatte i virksomheter, som ville kjøpe tjenesten fra Secure Practice. I tillegg ville ledelsen i disse virksomhetene få statistikk over ansattes kunnskaps- og interessenivå innenfor informasjonssikkerhet. For å kunne levere tjenesten uten at informasjon om ansatte kan misbrukes av ledelsen, drøftet deltakerne i prosjektet at det kunne være nødvendig å holde tilbake personopplysninger fra kunden. For at dette skulle være mulig, vurderte de en løsning med felles behandlingsansvar. Secure Practice og kunden vil da i fellesskap fastsette formålene og midlene for behandlingen av arbeidstakers personopplysninger.

Dette viser hvor viktig det er å avklare og plassere ansvarsforhold for å utvikle løsninger med godt personvern. Klare ansvarsforhold bidrar ikke bare til bedre etterlevelse av regelverket. Det kan også bidra til økt tillit mellom leverandører og kunder.

6. Hvorfor maser vi så fælt om at personvernet må tidlig på plass?

Har du hørt om innebygd personvern? Det er et prinsipp i personvernregelverket om at tekniske systemer og løsninger blir utviklet slik at personvernet blir ivaretatt. Poenget er å sikre at personvernet i systemet er gjennomtenkt, heller enn å forsøksvis bli klattet på til slutt. I den nye digitaliseringsstrategien slår regjeringen fast at alle relevante IT-løsninger i offentlig sektor skal ha innebygd personvern. Men hva betyr det i praksis?

Mange av virksomhetene har kommet til sandkassen med KI-prosjekter i konseptfasen. Erfaringen fra disse prosjektene er at tidlige veivalg har stor betydning for hvor lett eller vanskelig det blir å etterleve kravene i personvernregelverket. 

Flere eksempler fra sandkassen illustrer dette, spesielt når det gjelder lagring av personopplysninger for KI-formål. For eksempel kan lagring av store mengder personopplysninger sentralt på en felles server, gjøre dataene sårbare og øke angrepsflatene. Da må strenge organisatoriske og tekniske tiltak til for å sikre opplysningene, ettersom lagringen innebærer en større risiko for de registrerte. På en annen side kan desentralisert lagring – for eksempel ved kantprosessering (edge computing) – i visse tilfeller redusere personvernrisikoen. Det forenkler virksomhetens arbeid med informasjonssikkerhet.

Ett eksempel på desentralisert lagring er Doorkeepers løsning, der videostrømmen fra et overvåkingskamera ble sladdet direkte i kamerahuset før opptakene ble sendt videre til et brukergrensnitt. Et annet eksempel var et prosjekt med Ruter, som ønsket lokal lagring på brukernes egne mobiltelefoner i forberedelsesfasen til å utvikle KI.

Hvor data skal lagres, er neppe det første du tenker på etter å ha fått en ide om en genial ide. Å tenke på det tidlig nok kan riktignok spare deg for mye frustrasjon, og brukerne for risiko.

Dette er særlig relevant for virksomheter med begrensede ressurser – å utvikle løsninger som fra starten ikke krever omfattende tiltak for å oppfylle personvernregelverket. Å tilpasse ferdigutviklede løsninger i etterkant kan være både tidkrevende og kostbart.

Overvåkingskameraer har gjennomgått en bemerkelsesverdig teknologisk utvikling de siste tiårene. Et av de viktigste fremskrittene er intelligent videoanalyse, der algoritmer analyserer og tolker videostrømmer, uten hjelp fra mennesker.

Teknologien kan utføre et mangfold av oppgaver. Alt fra enkle ting, som å detektere når en dør åpner seg, til mer inngripende former for overvåking, som involverer avansert analyse av ansikter og bevegelses- og atferdsmønstre.

Men er det mulig å bruke slik teknologi, som kan overvåke mennesker, og samtidig ivareta kravene i personvernregelverket? Dette var bakgrunnen for at Datatilsynet samarbeidet med sikkerhetsselskapet Doorkeeper i vår regulatoriske sandkasse.

Er det mulig med personvernvennlig overvåking?

I prosjektet utforsket vi mulighetene for å konfigurere intelligent videoanalyse slik at behandlingen av personopplysninger blir mindre inngripende. Doorkeepers løsning for å gjøre dette var blant annet å:

• Unngå kontinuerlig opptak av videostrømmen. Doorkeeper vil kun «aktivere» opptak når løsningen registrerer en forhåndsdefinert sikkerhetstrussel, for eksempel knusing av et butikkvindu. Dette vil gjøre at virksomheten ikke har løpende opptak av personer som ikke er relevante for hendelsen.
• Ansikter og menneskeformer sladdes i sanntid fra videostrømmen. Dette betyr at personene i videostrømmen ikke vil være direkte identifiserbare med mindre en uønsket hendelse oppstår.

Vi har også diskutert hvorvidt intelligent videoanalyse vil endre hvor det er lovlig å overvåke. Datatilsynets funn tyder på at dette i liten grad endres selv med kameraer som kan fjerne visse personopplysninger fra videostrømmen. For eksempel er det bare offentlige myndigheter som har lov til å overvåke offentlige steder. Dette endres ikke selv om private virksomheter tar i bruk mer «personvernvennlige» løsninger. 

Men et interessant unntak fra dette er når kameraet konfigureres som en sensor med formål om å detektere brann- og røykutvikling. I et hypotetisk tilfelle hvor et slikt kamera skal detektere brann på en kirkevegg, vil løsningen muligens oppfylle lovkravene hvis behandlingen av personopplysninger er svært begrenset og metoden er bedre egnet til å oppnå formålet enn andre mindre inngripende løsninger, som for eksempel en vanlig brannalarm.

Nye bruksområder for overvåkingskameraer

Til tross for at intelligente løsninger i liten grad endrer hvor det er mulig å sette opp et kamera, har mange sett nye bruksområder for teknologien. Ett eksempel på dette er bruken av «feberkameraer» under pandemien. Disse ble installert på sykehus og fotballstadioner for å analysere besøkendes temperaturer og oppdage mulige COVID-19-smittebærere.

I Europa har det også vært en opphetet debatt om intelligent overvåking på kollektivtransport. For eksempel da selskapet Eurostar implementerte intelligente løsninger på sine tog, for å analysere passasjerenes humør og ansiktstrekk. Formålet var å identifisere potensielle trusler mot andre passasjerer.

Personvernproblematikken ved disse eksemplene er todelte. I det konkrete tilfellet er det spørsmål om overvåkingen er forsvarlig, om den er for inngripende og om den oppfyller lovens krav. På et samfunnsnivå handler spørsmålet om den totale graden av kontroll og det voksende «overvåkingstrykket» som gjør at det er stadig færre steder vi kan bevege oss fritt uten å bli observert.

Sikkerhet, overvåking og personvern

Sikkerhet, overvåking og personvern kan være motstridende interesser. På den ene siden kan overvåking være nødvendig for å sikre både mennesker og materielle verdier. Men man har ofte sett at dette kan gå utover integriteten til enkeltpersoner og retten til et privatliv, ved uønsket overvåking i situasjoner man vil være i fred, eller ved misbruk av opplysninger fra videostrømmen.

Teknologi som markedsføres som «personvernvennlig» kan også gi en falsk følelse av trygghet. Som vi har drøftet i sandkasse-prosjektet, er det avgjørende at slik teknologi kommer sammen med konkrete tiltak som begrenser muligheten for brudd på personvern. Dette inkluderer å sørge for at personvern er standardinnstillingen i konfigurasjonen, å ivareta informasjonssikkerheten i alle ledd, og hindre at uvedkommende får tilgang til å se eller manipulere videostrømmen.

Falske positiver og bias i treningen

Et tilbakevendende problem med løsninger som bygger på kunstig intelligens, er falske positiver. Falske positiver kan føre til at behandlingen av personopplysninger blir mer omfattende enn det den ansvarlige virksomheten har lov til. I tilfellet av kameraovervåking for sikkerhetsformål kan det også ha seriøse negative konsekvenser for enkeltpersoner. For eksempel kan en person bli feilaktig beskyldt for handlinger de ikke har begått, eller at man – via biaser i dataene som systemet er trent på – blir profilert basert på hudfarge eller andre sensitive fysiske trekk.

I motsetning vil falske negativer kunne medføre at overvåkingen ikke oppfyller formålene den er ment eller trent å oppfylle. Enhver som benytter intelligent kameraovervåking må derfor følge med på eventuelle falske positiver og negativer, og kontinuerlig tilpasse løsningen slik at den fungerer etter hensikt.

Personvern er både et lovkrav og et konkurransefortrinn

For virksomheter som vil ta i bruk intelligent videoanalyse, vil et godt personvern være et helt klart konkurransefortrinn i markedet. Ved å vise at man tar personvern seriøst – og at man etterlever lovkravene – bygger man tillit hos virksomhetene som skal ta i bruk teknologien – samt ansatte, kunder og andre som er eksponert for overvåkingen.

I likhet med ekte intelligens, må kunstig intelligens lære selv, for å utføre en oppgave. Det ligger i kunstig intelligens’ natur at du ikke på forhånd kan bestemme akkurat hvordan den vil lære seg noe. Noen ganger oppstår også hell i uhell, og du oppdager at du kan bruke KI-en til flere, eller andre ting, enn den var utviklet for.

Åpenhet om formål

Når kunstig intelligens skal lære av eller brukes på personopplysninger, stiller regelverket krav om at man er åpen om formålene med bruken. Personene som opplysningene gjelder – de registrerte – har krav på å vite hva opplysningene skal brukes til. Denne informasjonen skal man få før personopplysningene samles inn.

Åpenhet har vært hovedtema for prosjektet Ruter har deltatt med i Datatilsynets KI-sandkasse. Ruter planlegger å bruke kunstig intelligens i sin app for å tilby kundene persontilpassede reiseforslag. I sandkasseprosjektet har Datatilsynet og Ruter diskutert hvordan de kan være åpne om behandlingen av personopplysninger i denne løsningen.

Les sluttrapporten fra Ruterprosjektet, «I rute med kunstig intelligens».

Det kan være vanskelig å på forhånd vite hvilken bruk av personopplysninger som trengs for å få den kunstige intelligensen til å virke som den skal. I tillegg kan den kunstige intelligensen vise seg å ha flere bruksområder når den er blitt opplært. I motsetning til Ruters bussruter, som skal være så forutsigbare som mulig, vil det være en styrke for Ruters app om den overrasker med nye måter å reise bedre på. Stenger da regelverket for å gjøre noe utover det du så for deg i utgangspunktet?

Hvor mye skal til?

Vi kan omformulere spørsmålet til hvor mye du må få vite før personopplysningene dine samles inn. Regelverket krever at formålene skal være spesifikke, uttrykkelig angitte og berettigede. Du kan altså ikke invitere på blåtur i forstand av så brede formål, at man i realiteten ikke forstår rekkevidden av hva personopplysningene kan brukes til. Når du har angitt formålene, setter de skranker for hvilken bruk som er tillatt. Oppdager du senere at det er verdifullt å bruke personopplysningene til et nytt formål? Ja, da må du gjøre nye vurderinger og finne et nytt rettslig grunnlag for bruken. Og ikke minst – la være å gå videre med det nye formålet, om du ikke finner dekning for det.

Et hovedhensyn er at måten personopplysningene behandles på skal være forutberegnelig. Bruken må knytte seg tett nok opp mot det formålet som var definert ved innsamling. På den måten får de registrerte en større grad av kontroll over hvordan noen bruker personopplysningene deres. Hvis man ser at bruken i realiteten knytter seg til et annet formål, skal den som hovedregel ikke skje, med mindre man starter på nytt med nye vurderinger og tiltak som kan gjøre bruken lovlig.

Forutsigbarhet for de registrerte er avgjørende for tillit. Tillit er viktig når man skal la kunstig intelligens jobbe med folks personopplysninger. Så hvordan skaper du forutsigbarhet ved bruk av et verktøy som (delvis) har uforutsigbarhet som sin styrke?

Å avgrense formål

Når du først har identifisert alle bruksområder du kan se for deg, og bestemt deg for hvilke formål du vil forfølge, kommer spørsmålet om hva som hører inn under ett og samme formål opp. Selv om ulik bruk av personopplysninger i den kunstige intelligensen kan utfylle ulike oppgaver, kan bruken høre til samme formål.

I sandkasseprosjektet diskuterte Ruter og Datatilsynet for eksempel om behandling av personopplysninger for å gi persontilpassede reiseforslag og etterlæring av den kunstige intelligensen er to separate formål. Ruter forklarte, at det er vanskelig å få til det ene uten det andre. For at den kunstige intelligensen skal klare å gi gode, persontilpassede reiseforslag, må den stadig læres opp. For eksempel må den tilpasse seg endringer i reisemønster.

Man kan altså se det slik at etterlæringen er en behandlingsaktivitet som hører inn under formålet om å gi persontilpassede reiseforslag. Det samme kan sies om retting av feil eller justering av elementer den kunstige intelligensen legger vekt på før den gir et reiseforslag.

Bruk for nye formål

Ruter har planlagt å legge til rette for god informasjon om formålene de kan se for seg allerede ved innsamling. Hvis det senere oppstår behov for å oppfylle nye formål, som de ikke så for seg ved innsamling, kan de i utgangspunktet ikke gå videre med bruken. Det finnes likevel mulighet for å oppfylle det nye formålet, dersom det er forenelig med det opprinnelige formålet.

En type bruk, som i regelverket er angitt som forenelig uansett opprinnelig formål, er bruk for statistiske formål. Såfremt du sørger for å avidentifisere og beskytte opplysningene i så stor grad som mulig, samt å informere om ny bruk, kan bruk for statistiske formål være mulig selv om det er et nytt formål. I den grad du ser for seg en slik bruk allerede på innsamlingstidspunktet, må du likevel informere om det som et eget formål allerede da.

Fordel å ha tunga rett i munnen fra starten av

Når du skal bruke personopplysninger, må du ta noen hensyn som kan være krevende ved utvikling og bruk av kunstig intelligens. Bruksmulighetene begrenses ut fra hva slags informasjon man har gitt til de registrerte ved innsamlingen.

Man må planlegge godt. Det betyr å informere godt – ved innsamling – om alt du planlegger å bruke personopplysningene til. Godt forarbeid på dette området vil kunne gjøre jobben med den kunstige intelligensen lettere i et langsiktig perspektiv. Da får man en vinn-vinn-situasjon for virksomheten og for de registrerte.

Cyberangrep er stadig i overskriftene, og det er berre å innsjå det – vi menneske er det svakaste leddet. Nokon av oss klikkar febrilsk unna alle varselboksar som poppar opp, og jobbar uforstyrra vidare. Nokon deler villig vekk persondata på ukjente sider. Andre har innsikt i farane der ute, men med oppblåst, digital sjølvtillit hoppar dei over it-sjefens kurs for alle i bedrifta. Det er som regel gammalt nytt. Våre forkunnskapar om og interesser for informasjonssikring er forskjellige. Det er utfordrande for dei som prøvar å førebyggje mot cyberangrep og phishing. Korleis kan vi lage ei opplæring som funkar?

Å gjere informasjonssikring interessant

Kva om vi kunne få til spesialtilpassa opplæring på jobb, for å sikre oss mot både sosial manipulasjon og «hacking»? Ei opplæring som treff oss med akkurat dei tiltaka vi treng, og med pedagogiske triks som gjer oss motivert til å lære? Det er muleg. Det er berre ein liten hake ved det. All denne informasjonen som trengs for å vite kva som funkar på akkurat deg – kven skal ha tilgang til den?

Ville du hatt tillit til at sjefen ikkje brukte slike sensitive data, som var meint for tilpassing av opplæringa, for å fordele opprykk og spennande prosjekt? Eller enda verre – som påskott for å bli kvitt upopulære medarbeidarar? Korleis kan dei som utviklar og bruker kunstig intelligens gå fram for å vinne tillit frå tilsette? Dette er nokre av spørsmåla Secure Practice har utforska ilag med Datatilsynet i sandkassa for kunstig intelligens.

Kunstig intelligent, ekte kjent

For å få spesialtilpassa opplæring, må vi først bli kartlagt. Verktyet som Secure Practice utviklar bruker maskinlæring – ei form for kunstig intelligens – for å samle og samanstille informasjon om dei tilsette i ei verksemd.

I verktyet kan tilsette for det første svare på spørsmål om kunnskap og vanar innanfor  informasjonssikring. For det andre kan verktyet byggje på erfaring frå testar, som til dømes simulert phishing. Phishing er ei form for sosial manipulering, der cyberkriminelle for eksempel prøver å lure folk til å trykkje på ei skadeleg lenkje i ein e -post. Simulert phishing er som ei brannøving, der verksemda sender liknande e-post til dei tilsette, men i kontrollerte former. Om ein tilsett klikkar på lenkja eller ikkje, seier noko om kor medviten den enkelte tilsette er om informasjonssikring.

Den samanstilte informasjonen blir deretter brukt til å kalkulere ein risikokategori for kvar enkelt tilsett. Kva for risikokategori den tilsette hamnar i, avgjer kva for opplæring han eller ho får tilbod om.

Tillit må til

Stoler du ikkje på KI-verktyet, vil du kanskje føle deg overvaka. Du kan vegre deg for å for å svare ærleg på spørsmål i kartlegginga. Kanskje vil du også bruke retten du har i personvernforordninga til å protestere mot kartlegginga. Alt dette verkar inn på om det er lovleg å bruke verktyet.

Arbeidsgjevaren kan nemleg berre behandle personopplysningane om deg dersom opplysningane er eigna og nødvendige for å oppnå målet om betre opplæring i informasjonssikring. I tillegg må interessene til informasjonssikring vege tyngre enn dei tilsettes personvern. Protesterer du, krevst det enda meir overvekt for omsynet til informasjonssikring, halde opp mot ditt personvern.

Korleis vinne tillit frå dei tilsette?

For det første må du ha eit system som fortener tillit. Tenestetilbydarar og arbeidsgjevarar må lage gode kontraktar. Det er grunnleggjande å avtale kven som har ansvaret for at KI-systemet blir brukt på ein måte som oppfyller krava i personvernregelverket. Er det arbeidsgjevarane, tenestetilbydarane eller begge i fellesskap? I prosjektet vårt var det dessutan viktig å finne ut kven som skulle ha tilgang til personopplysningane som blir samla inn om den enkelte tilsette. Dei tilsette ville vere betre beskytta, dersom berre tenestetilbydaren skulle handtere desse opplysningane. Kanskje er det ikkje så avgjerande om du stolar på sjefen, dersom du har tillit til tenesteytaren og programvaren?

I tillegg til gode avtalar trengst det tekniske tiltak for å hindre at uvedkomande får tilgang til opplysningane om dei enkelte. Informasjonen om tilsettes svake punkt er gull verdt for “vondsinna” aktørar. Her er pseudonymisering, kryptering og tilgangsstyring nyttige stikkord.

Faren for falsk tryggleik

Men det hjelper veldig lite med verdas sikraste system om ikkje dei tilsette skjønar det eller stoler på det. Dei tilsette må få informasjon om korleis ansvaret er fordelt og korleis opplysningane om dei blir brukt. Informasjonen må vere lett tilgjengeleg og formulert på ein enkel og klar måte.

I prosjektet har vi spurt fokusgrupper med ulik bakgrunn korleis dei ønskjer å få informasjon. Vi erfarte at ikkje all openheit var god. Dersom verktyet for eksempel forklarte nivået på opplæringa med at den tilsette tidlegare var blitt lurt i ein test, kunne det skape irritasjon og stå i vegen for vidare læring.

Vi spurde også kva for informasjon dei var villig til å gi frå seg. Det var store individuelle forskjellar. Somme var opptatt av at opplysningane om dei tilsette vart godt sikra mot tilgang frå arbeidsgjevaren, og at tilsette burde få uttale seg før verktyet vart tatt i bruk. Andre framheva at dei måtte forstå målet med verktyet og korleis det verkar, for å svare ærleg.

Og uærlege svar er rusk i det finstemte KI-maskineriet. Nøkkelen til kunstig intelligens som verkeleg verkar er tillit. Tonnevis med tillit.

Dagens tips frå sandkassa:

Ikkje ta lett på kommunikasjonen med dei tilsette. Den er avgjerande for tilitten. Som er avgjerande for at verktyet verkar.

• Sluttrapporten frå sandkasseprosjektet med Secure Practice skal vere ferdig og bli publisert i november. Då vil du finne den på Sandkassesiden.
• Hald deg oppdatert på kva som skjer i sandkassa, søknadsfristar og arrangement ved å abonnere på sandkassas eige nyhendebrev: Sandkassebrevet.
• Vil du lese meir om korleis svindlarane går fram? Sjå Koronasvindlerne – Personvernbloggen.

Noe kan gå galt…

Jeg har selvsagt lært. Det har også mange virksomheter. Og testmiljøet i Norge har blitt mer modent, i den forstand at flere har fått opp øynene for hvor viktig, og ikke minst hvor utfordrende testing er. Det er dessuten ikke lenger bare funksjonelle krav i løsningen som skal testes.

La oss begynne med å smake på selve ordet. TEST. Det betyr å prøve ut noe, sannsynligvis noe selskapet har jobbet med lenge, og som de snart skal sette i produksjon. Det ligger nærmest i sakens natur at noe kan gå galt. Ja, vi kan si det så sterkt at det egentlig er ganske fint om noe går galt, for det er jo bedre at det går galt under testing, enn etter produksjonssetting. Men tenker vi tanken helt ut, er det å teste på ekte personopplysninger faktisk å ta en sjanse med disse menneskenes data.

Noe kan gå galt, og de som utfører testingen, skal nødvendigvis heller ikke ha autorisert tilgang til ekte data, for eksempel dersom det er innleide konsulenter. Nå kan ikke dette helt unngås, men det skal foreligge et behandlingsgrunnlag. De som skal teste skal være autoriserte, og vår klare anbefaling er å bruke syntetiske data ved testing. For dummies kalles dette gjerne Donald Duck-data, fordi det ikke er snakk om ekte personer eller opplysninger som kan ledes tilbake til reelle personer.

…og det gjør det dessverre litt for ofte

Det er veldig viktig å teste, derfor er også regelmessig testing eksplisitt nevnt som et aktuelt tiltak for å sørge for tilstrekkelig sikkerhet for personopplysninger. De siste årene har vi sett flere eksempler på alvorlige hendelser fordi virksomhetene ikke har testet på forhånd:

• I en sak mot Oslo kommune, knyttet til appen Skolemelding, ga vi et overtredelsesgebyr på 1,2 millioner kroner. Vi la bl.a. vekt på at «mangelfull testing før lansering av appen førte til at den ble lansert med sårbarheter som er godt kjent i sikkerhetsmiljøer verden over».
• Rælingen kommune ble ilagt et overtredelsesgebyr på 500 000 kroner. Det ble blant annet gitt fordi det ikke var gjort nødvendig testing før applikasjonen Showbie ble tatt i bruk.
• Vi har også nylig gitt et overtredelsesgebyr på kr 1 250 000 til Norges Idrettsforbund. De testet på reelle personer i betydelig omfang da de skulle flytte data fra fysisk miljø til en skytjeneste. Resultatet var at personopplysninger var eksponert i 87 dager. (De har tre uker på å klage på vedtaket.)

Gjør test til en fest!

Hvordan teste riktig? Et godt sted å begynne er å lese Datatilsynets veileder om programvareutvikling med innebygd personvern.Der er et eget kapittel om nettopp testing. Det er også en god ide å la seg inspirere av NAV. Hvert år deler vi ut en pris til beste løsning med innebygd personvern. Vinneren i 2019 var nettopp NAV med bidraget «Gjør test til en fest! Løsning for syntetiske testdata«.

Min testlærekurve har vært bratt, men veldig nyttig, og det var veldig stas å delta på prisutdelingen til NAV. Jeg hadde helt sikkert holdt et mye bedre foredrag om testing nå enn da denne reisen startet. Og jeg fikk min straff. Foredraget den gangen ble holdt på Thon Hotell Nydalen, og da jeg kom ut etter foredraget, var sykkelen min stjålet. Men den avklippede låsen lå igjen. Den hadde altså ikke bestått testen.

For eksempel var «bråtabrann» nærmest en tradisjon hver vår, en tradisjon som nesten satt fyr på skolen. Det var slåsskamper, sladring om og direkte meldinger til medelever som gjorde at de ble satt utenfor og ble skikkelig lei seg. Vi helte vann på «godstolen» til læreren for at klassen skulle få seg en god latter eller ta hevn for en lekseprøve læreren hadde gitt oss. Noen elever fikk tak i et pornoblad, som de smugleste i skogen bak skolen, et fristed der verken lærere eller foresatte hadde tilgang.

Alle husker vi kanskje noe fra denne tiden – episoder, handlinger og opplevelser som vi kanskje angrer på eller skammer oss over, og som vi nå er glad for at er glemt. Ting som har fått gå i glemmeboken, og ikke fulgt oss videre i livet.

Dagens elever er nok ikke så annerledes enn det vi var. De er like nysgjerrige, de gjør samme type aktiviteter og hyss som oss. Og dette er vel en del av menneskets utvikling fra barn til voksen. Det som er forskjellen mellom meg og dagens skoleelever, er at de fleste aktivitetene de gjør registreres elektronisk.  Aktivitetene kan altså knyttes direkte til dem som barn eller elev. På den måten følger aktivitetene eleven opp gjennom oppveksten. Og kanskje gjelder det aktiviteter både på skolen og i fritiden?

Så – glemmeboka – som jeg er glad fantes i mine barne- og ungdomsår, finnes den lenger, eller er den forsvunnet? Klarer vi voksne å forstå hvilke konsekvenser digitaliseringen får for våre barn og for den oppvoksende generasjon?

På kontoret har jeg en plakat der står: «We shall all die, but our data never dies, they live forever».

Elevene har digitale ferdigheter i bøtter og spann, men mangler ofte digital dømmekraft. Vi voksne må sørge for å ha eller erverve en slik digital dømmekraft. Vi må ta ansvaret for å gi våre elever og barn trygge og solide digitale plattformer og verktøy, hvor personvern er innebygd og personvern er standard.

Barn skal ha frihet til å prøve og feile, utforske og utvikle seg uten at dette skal være tatovert inn i deres «digitale historie». Digitalisering av adferd og prestasjoner har konsekvenser for barns personvern.

Privatliv er et grunnleggende menneskelig behov som skaper rom for refleksjon og utvikling av personligheten. Vi har alle behov for å skape og utvikle sosiale relasjoner og ferdigheter på egen hånd, uten å bli registrert eller manipulert av ulike sosiale eller andre digitale plattformer til å forme hva vi skal mene.

For vi er vel fremdeles subjekter og ikke objekter når samfunnet, kommunen og skolene digitaliseres. La oss sørge for at retten til å bli glemt og få starte på ny, fremdeles finnes i vårt digitaliserte samfunn.

Vi fikk inn 25 søknader til den regulatoriske sandkassen for kunstig intelligens (KI) og personvern. Spennet i søknadene viser det enorme potensialet KI har for å forbedre og effektivisere samfunnet vårt. Samtidig ser vi helt klart et behov for avklaring av hvordan deler av personvernregelverket skal tolkes i praksis.

Topp 5

Lista over tematikk, som søkerne i første runde med Datatilsynets sandkasse ønsker hjelp med, toppes av disse fem:

1. Transparens
2. Dataminimering
3. Rettferdighet
4. Anonymisering/avidentifisering
5. Behandlingsgrunnlag

Tilbakemeldingene vi har fått fra søkerne er at regelverket er der, men hvordan skal vi gjøre det i praksis? Hvor detaljert må forklaringen være? Hvordan kan vi bruke så lite data som mulig (dataminimering), men samtidig få nøyaktige resultater? Hvordan kan vi designe et system som er rettferdig for brukeren og ikke diskriminerer?

Vi er i gang med å velge ut fire prosjekter av de 25 søknadene som vi skal jobbe tett med for å utforske gode personvernløsninger i de ulike løsningene. Målet med sandkassen er å jobbe frem gode personvernløsninger for å vise frem at KI og personvern kan gå hånd i hånd, og gi eksempler på vurderinger og personverntiltak i konkrete prosjekter. Vi håper det kan være til hjelp og inspirasjon for andre virksomheter som benytter personopplysninger og KI.

KI overalt

Kunstig intelligens kan gjøre utdanningen mer tilpasset og presis, den kan hjelpe med å effektivisere helsehjelp og fange opp sykdom på et tidlig tidspunkt, den kan spare samfunnet for store verdier ved å avdekke hvitvasking på en måte mennesker ikke kan. Søknadene representerer mange ulike sektorer, og vi har alt fra små oppstartsselskaper til store offentlige aktører på listen.

11 av søkerne kommer fra offentlig sektor, og 14 fra privat sektor.

Nå gleder vi oss til å komme i gang med de første sandkasseprosjektene. Følg gjerne med på våre nettsider om nytt fra sandkassen – vi staser på å dele oppdateringer underveis i prosjektene. Første runde vil vare i 3-6 måneder, og vi kjører nytt opptak når vi har kapasitet til høsten. 

Gratulerer med dagen alle sammen, og hjertelig velkommen til årets personvernkonferanse. For første, og forhåpentligvis siste gang, holdes konferansen utelukkende digitalt. Men vi vet at mange sitter klistret foran skjermen med popcorn, cola og jeg har hørt rykter om strikketøy, og det er vi veldig glade for.

Det spørsmålet jeg skal forsøke å besvare, er om digital smittesporing er den første store testen på effekten av personvernforordningen. Og like viktig, om personvernverdiene står seg under press. Dette spørsmålet kan selvsagt ikke besvares med «ja» eller «nei». Særlig i den tiden vi nå lever i, kan svært få spørsmål besvares så enkelt. Til det er usikkerheten for stor.

Smittestopp og personvern

Men det er en del – la oss kalle det signaler, som i hvert fall trekker i retning av at svaret er «ja». Jeg skal ikke bruke tid på å snakke om de juridiske sidene av Smittestopp-saken, men si litt om hva vi kan trekke ut av prosessen i Norge og i andre land. Jeg vil også se på hva vi kan trekke ut av reaksjonene som kom fra politisk hold, teknologimiljøene, organisasjoner og norske borgere.

Vi så tidlig at myndigheter i mange land rullet ut egenutviklede løsninger som senere måtte trekkes tilbake av personverngrunner. Det som skjedde med Smittestopp i Norge var derfor ikke unikt – i motsetning til det som kanskje har festet seg som et inntrykk. Men den norske løsningen var blant de mest inngripende.

I en krisesituasjon vil mange bytte litt frihet med trygghet. Vi må også et stykke på vei akseptere en slik byttehandel.

I Storbritannia kom myndighetene for eksempel med en egenutviklet app (NHS Covid-19), basert på bluetooth og sentral lagring. De måtte trekke den tilbake på grunn av kritikk (blant annet problemer med Apples bluetooth-begrensninger) og manglende effekt. De gikk etterhvert over til Google/Apple-løsningen.

I Tyskland lanserte myndighetene en egenutviklet app (CoronaWarn) basert på bluetooth og sentral lagring. Den måtte også trekkes tilbake på grunn av kritikk (blant annet problemer med Apples bluetooth-begrensninger) og manglende effekt, og gikk over til Google/Apple. Forskjellen mellom Storbritannia og Tyskland er at Tyskland snudde seg raskt.

Vi kan kanskje nevne Danmark, som ventet med å utvikle appen. Hvorfor? Det kan ha å gjøre med at de ventet til de var trygge på løsningen, fra et sikkerhets- og personvernperspektiv.

I Norge kjenner vi historien. FHI måtte trekke tilbake appen på grunn av et vedtak fra oss.

En test av personvernlovgivningen

Et delsvar på spørsmålet mitt er altså at myndigheter i flere europeiske land ble tvunget til å utvikle mer personvernvennlige løsninger som følge av kritikk. Det vitner om en personvernlovgivning som tåler å testes i krevende situasjoner. Selv om det vi i Datatilsynet har stått i ikke kan sammenlignes med det helsemyndighetene har stått i, skal det ikke stikkes under en stol at det å behandle saker knyttet til smittesporing har vært krevende.

I en krisesituasjon vil mange bytte litt frihet med trygghet. Vi må også et stykke på vei akseptere en slik byttehandel. Derfor er det ekstra interessant, i lys av temaet for dette foredraget, å se nærmere på de reaksjonene Smittestopp-saken utløste.

Og ettersom det tross alt er personverndagen i dag (vår egen dag!) er jeg navlebeskuende nok til å begynne med oss selv. Den dagen Smittestopp-prosjektet ble lansert, sa jeg i Dagsnytt 18: «en smitteapp kan, i en krisetid, være et akseptabelt tiltak for å slå tilbake pandemien og redde liv».

I nettmeldingen vi sendte ut 27. mars skrev vi:

«Vi etterlater oss en lang rekke digitale spor hver dag, og i motsetning til ved tidligere pandemier, har vi nå mulighet til å bruke disse dataene til å kartlegge smittespredning og varsle befolkningen på nye måter. Det er viktig å benytte seg av slike muligheter, men vi har ikke tidligere vurdert hvor langt vi kan gå i å tillate at personverndata blir brukt til slike formål i en krisesituasjon».

Personvernrådet (en sammenslutning av alle datatilsynsmyndighetene i EU- og EØS-området) uttalte at personvernforordningen «ikke er til hinder for tiltak som kan bekjempe koronavirus-epidemien». Rådet understrekte samtidig at myndighetene må beskytte borgernes grunnleggende rettigheter selv om det er mulig for medlemsstatene å innføre lovgivningstiltak for å ivareta offentlig sikkerhet.

Personvernrådet fortsetter slik: «Denne typen lovgivning er kun lovlig dersom det utgjør et nødvendig, egnet og forholdsmessig tiltak i et demokratisk samfunn».

Og som en parentes, før vi går videre: Disse verdiene speiler innholdet i EMK artikkel 8, som fastslår retten til privatliv. 

Har bestått testen

De signalene personvernmyndighetene ga, er viktig i en vurdering av om forordningen har bestått testen. Fordi vi anerkjente bruken av teknologi for å bekjempe pandemien, og fordi sluttresultatet er en smittesporingsapp som er akseptabel fra et personvernståsted.

La oss så se på reaksjonene fra andre grupper i samfunnet.

Teknomiljøet var raskt ute. I dette miljøet har vi selvsagt en del personvernere, men det slo oss at bredden i kritikken var stor. Det gikk ikke på digital smittesporing som sådan, men på teknologivalg og sikkerhet, og omfanget av inngrepet overfor den enkelte. Det ble laget et opprop, en sjeldenhet generelt, og kanskje i teknologimiljøet spesielt, og viser tydelig at engasjementet for personvern er betydelig.

Også folk flest viste stor interesse. Uten å lage noe stort nummer ut av det – men jeg får jo en del e-post fra folk som har meninger om det vi gjør – smittestopp engasjerte voldsomt, og det i begge retninger. Vi mottok også formelle klager fra norske borgere. Saken ble heftig debattert, var i Dagsnytt 18 flere ganger, samt i andre nyhetssendinger. Saken gikk også sine svært aktive runder på Twitter og andre sosiale nettsamfunn, og ble også omtalt internasjonalt.

Det er også verdt å merke seg at Stortinget vedtok å dele smittestopp i to: én for smittesporing og én for modellering av smittespredning, forskning og eventuelt andre formål. Og til slutt: Amnesty kom på banen med en rangering av ulike smitteapper, i et menneskerettighetsperspektiv.

Alt dette trekker etter min mening i retning av at personvernforordningen, og verdiene den beskytter, har blitt testet, og bestått. Grunnen er denne:

Det som har engasjert borgere og forbrukere, teknologimiljøet, politikere og organisasjoner, er at Smittestopp utfordret noen viktige prinsipper i personvernregelverket. Stortinget var opptatt av formålsprinsippet. Sikkerhet og teknologivalg, og viktige prinsipper som dataminimering og skikkelige konsekvensvurderinger, var særlig viktig hos teknologimiljøet. Amnesty var opptatt av koblingen mellom personvern og menneskerettigheter som kommer fra samme verdigrunnlag. Norske borgere var i stor grad opptatt av det som er kjernen i personvernet, her uttrykt på en folkelig måte: Frihet fra urettmessig overvåking.

Er vi avhengige av Silicon Valley?

Det er imidlertid noen tankekors som ikke bare handler om forordningen, men også om teknologiutvikling, og kanskje også forretningsmodeller. Det er Google og Apple sine roller.

Dagens Smittestopp er langt mer personvernvennlig enn den første. Den er like fullt bygget på infrastrukturen der i hvert fall ett av selskapene er sterkt kritisert for sin holdning til personvern, og nå har flere store saker mot seg fra personvernmyndigheter. Er det uproblematisk at myndigheter i demokratiske stater er avhengige av Silicon Valley for å levere viktige tjenester til innbyggerne? Dette er et godt tema for diskusjonen senere.

Takk for oppmerksomheten!

Datatilsynet og Teknologirådet markerte også i år den internasjonale personverndagen den 28. januar med et åpent møte – denne gangen på nett. Les mer om arrangementet og se opptak

En digital nedkjølingseffekt

Datatilsynet gjennomførte i årskiftet 2019/2020 en personvernundersøkelse som blant annet påviser en digital nedkjølingseffekt. Det betyr at mange begrenser bruken av digitale tjenester eller lar være å bruke dem. Effekten av digitalisering bremses fordi man ikke har den nødvendige tilliten til tjenestene – med rette.

Det blir stadig tydeligere at gigantene bak «sosiale medier» – som 1800-tallets matprodusenter – ikke tilbyr tjenestene til samfunnets og enkeltmenneskenes beste. Google, Facebook mfl. er i realiteten først og fremst annonsesalgsselskaper. Gjennom kynisk bruk av algoritmer, ønsker de først og fremst at du trykker på så mange annonser som mulig via deres plattformer.

Algoritmene som benyttes i disse sammenhengene faller i mange tilfeller innenfor (en relativt bred) definisjon av «kunstig intelligens» (KI). ²

Enormt potensial

Det positive potensialet for løsninger som benytter KI-algoritmer er enormt. Som f.eks. bedre og mer effektive helsetjenester, inkludert nyttige og effektive offentlige og private tjenester generelt. Ikke bare i industrialiserte land, men kanskje spesielt i land med krevende utfordringer knyttet til økonomi og samfunnsinfrastruktur.

Samtidig kan teknologien – tilsiktet eller ikke – føre til løsninger som konsekvent foreslår menn til tekniske stillinger i Google. Eller sørge for at det systematisk blir foreslått strengere straffer for afroamerikanere i det amerikanske rettssystemet. Eller foreslår kostbare helsebehandlinger for noen grupper, og ikke for andre. Uten av vi – inkl. «ekspertene» – kanskje helt skjønner hvorfor?

Der Wiley satt blant glasskolber og målebegre for å finne forklaring på hva «syltetøyet» egentlig var, trenger vi gode metoder, mekanismer og prosesser for å forklare hva komplekse algoritmer med kunstig intelligens egentlig gjør.

Dette behovet for forklarbarhet er grunnleggende viktig for å kunne håndheve et av de grunnleggende prinsippene i Personvernforordningen – rettferdighetsprinsippet (Personvernforordningen/GDPR Art 5.1).

Men hva er en god og forståelig forklaring? Når er forklaringen «god nok»? Når må man forklare og på hvilken måte? Dette gjelder ikke spesielt løsninger som benytter kunstig intelligens, men får ekstra gyldighet når man benytter akkurat denne teknologien. KI som konsept er ikke nytt, men den massive utbredelsen og tilgjengeligheten av teknologien siste årene gjør at dette har fått helt ny aktualitet.

Sandkasse for kunstig intelligens

Som en del av Nasjonal strategi for KI (tidlig 2020) var et av tiltakene å opprette en såkalt sandkasse spesifikt for kunstig intelligens. Datatilsynet fikk oppdraget med å realisere denne, og allerede 1. desember 2020 ble det åpnet for søknader. Her skal alle typer virksomheter av alle størrelser kunne melde inn prosjekter, som benytter KI og persondata, gjerne på måter som krever en grundig forståelse av hvordan man skal sikre at dette gjøres innenfor lover, regler og god praksis for ansvarlig bruk av teknologien. Mange svar på dette er ubesvarte, uklare eller krever en god og bredt sammensatt kompetanse for å avklares. Sandkassen er et sted hvor man sammen kan lære, også Datatilsynet. Og resultatene vil publiseres for å dele kunnskapen med alle. Målet er at det skapes løsninger med nytteverdi for samfunnet og enkeltmennesket, samtidig som enkeltmenneskets rettigheter ivaretas.

Nysgjerrig på sandkassen? I gang med å etablere eller godt i gang med et prosjekt, en tjeneste eller et selskap som enten utvikler eller benytter løsninger hvor KI og persondata er viktige elementer?

Ta en kikk på datatilsynet.no/sandkasse og hvis du kjenner «kallet» – send inn en søknad om deltagelse! Søknadsfristen for første runde er 15. januar 2021.

• ¹ Fra boken «Det store spillet», Bår Stenvik
• ² «Kunstig intelligente systemer utfører handlinger, fysisk eller digitalt, basert på tolkning og behandling av strukturerte eller ustrukturerte data, i den hensikt å oppnå et gitt mål.» Nasjonal strategi for kunstig intelligens, KMD.

Nå som det verste har lagt seg, er det på tide at vi tar et pust i bakken og tenker på personvernutfordringene knyttet til digitaliseringen. I 2020 flyttet mer enn 800 000 elever i grunnskolen og høyere utdanning seg fra skolepulter og lesesaler og inn i digitale klasserom. Per i dag er det i det store og det hele opp til hver enkelt kommune å vurdere om personvernet ivaretas for den enkelte elev i en digital skolehverdag.

Barn og sårbare grupper har et spesielt vern i personvernforordningen, og det stilles strengere krav til behandling av personopplysninger tilhørende barn og sårbare grupper.

Mange spør seg om for mye av barnas aktiviteter og fritid nå registreres digitalt, selv om hensikten er god. Barn skal også få utfolde seg, uttale seg og oppføre seg fritt uten at det tatoveres inn i deres digitale historie.

Hva er innebygd personvern? 

Innebygd personvern og personvern som standardinnstilling er et krav i personopplysningsloven. Det betyr at nye løsninger og ny teknologi skal ha personvern bygget inn fra starten. Det betyr også at de innebygde tiltakene ivaretar dine og mine rettigheter og friheter på en effektiv måte. Eksempler på dette kan være effektiv ivaretakelse av kommunikasjonsvernet til elevene og at kun nødvendige personopplysninger samles inn.

Ifølge barneloven har barn ned i syvårsalderen rett til selvbestemmelse i saker av personlig karakter. Elektronisk kommunikasjon er også personlig, slik som når eleven bruker chat, sender e-post eller diskuterer med andre elever og lærere. Det er viktig at teknologi som benyttes i skolesammenheng, allerede fra idéstadiet har personvern som et urokkelig produktelement. Men hvordan ser dette ut i et produkt eller en tjeneste?

Når det skal designes og implementeres digitale verktøy i skolen, er det viktig å ha en del tanker i hodet samtidig. Hvilke data lagres? Hvordan fremstår dette for den som bruker produktet? Hvilke tillatelser må gis for at produktet skal fungere optimalt? Hva sier brukervilkårene? Hvem har tilgang på informasjonen? Hvem berøres av produktet utover brukeren?

Personvern i alle ledd

Personvern i praksis er når produkter gir gode svar på disse spørsmålene i alle ledd, og personvern i praksis er noe vi alle må få under huden. Om du lager et produkt for barn, sørg for å ha skreddersydde brukervilkår så de er lettfattelige og oversiktlige. Barns rett til selvbestemmelse kan manifestere seg i en trygg innloggingsfunksjon kun barnet har tilgang på, og man kan sikre seg mot at sensitiv data kommer på avveier ved å kryptere dem, eller ved å sørge for at de kun eksisterer i sanntid, og ikke lagres på servere.

For å belyse dette, har jeg lyst til å trekke fram AV1-roboten  som et eksempel på teknologi som ivaretar personvernet på en ansvarlig måte i digital undervisning.

Innebygd personvern i praksis

Hvert år arrangerer Datatilsynet en konkurranse om innebygd personvern i praksis. I fjor kom No Isolation på andreplass i konkurransen med kommunikasjonsroboten AV1, en løsning som nettopp ivaretar personvernet sett fra barnet og barnets perspektiv i digital undervisning.

I juryens begrunnelse pekte vi i juryen på at No Isolation som leverandør tar stort ansvar for en god løsning selv om ansvaret juridisk sett tilhører de behandlingsansvarlige, som i mange tilfeller er kommuner. No Isolation har skapt en helhetlig løsning, hvor personvern er ivaretatt i nesten alle ledd.  Medgrunnlegger av No Isolation, Matias Doyle, forklarer det slik: “Det er viktig at alle som har en AV1 i klasserommet er helt sikre på hvem som er på andre siden. Det skal aldri være tvil om hvem som er pålogget roboten. Derfor må brukeren skrive inn passord hver gang roboten skal brukes.”

Hva nå?

Det var viktig og bra at vi klarte å omstille oss over natten i mars. Men nå må vi sørge for at denne omstillingen ikke skjer på bekostning av personvernet og rettighetene til barn og unge. Vi har derfor utarbeidet en sjekkliste dere alltid bør gå gjennom før nye digitale hjelpemidler i skolen tas i bruk: 

• Husk at kommunen har ansvar for alle elvenes personopplysninger i den digitale undervisningsplattformen.
• Mengden av innsamlede og prosesserte personopplysninger begrenses til det tillatte og kun det som er absolutt nødvendig (dataminimering). Opplysningene skal slettes når videre lagring ikke er nødvendig for formålet. «Select before you collect».
• Den digitale undervisningsplattformen som skolene benytter må designes slik at elever og foresatte er godt nok informert om hvordan plattformen fungerer og hvordan personopplysningene til eleven behandles.  Bruk gjerne bilder, ikoner og symboler for å gjøre informasjonen tydelig. Animasjon, video og lyd kan også være gode virkemidler.
• Skolene må sørge for at både personopplysningene og den digitale plattformen er sikret godt nok. Sikkerheten skal baseres på risikovurderinger. Bruk gjerne anerkjente sikkerhetsstandarder.
• Kommunen er forpliktet til å benytte systemer, programmer og apper som har innebygd personvern og personvern som standardinnstilling.

Ny konkurranse innebygd personvern

Datatilsynet har utlyst en konkurranse om innebygd personvern i praksis også nå i 2020. Vi inviterer der alle som har en løsning, applikasjon eller et system som er utviklet med prinsippene for innebygd personvern til å melde seg på. Det er også en egen kategori for studenter. Påmeldingsfrist er 1. desember 2020.

Lykke til!