Dette innlegget er skrevet av Line Coll, direktør i Datatilsynet, og Kari Laumann, seksjonssjef for utredning, analyse og politikk i Datatilsynet. Innlegget ble først publisert i Altinget 28.01.2026.

Her hjemme har vi akkurat sparket i gang 2026, som av myndighetene er utpekt som Totalforsvarsåret. På bortebane ser vi at gamle allianser knaker og at den gamle regelbaserte verdensordenen utfordres. Teknologi har blitt et sentralt maktmiddel i geopolitikk, og personvern spiller en stadig viktigere rolle i sikkerhetspolitikken.

Tekoligarker og avhengighet

Store deler av Norges digitale infrastruktur er levert av en håndfull amerikanske selskaper. Disse selskapene er ikke bare teknologileverandører, men også globale maktaktører, og leverer alt fra fiber, datasentre, skytjenester og operativsystemer, både i privat og offentlig sektor i Norge.

Tekoligark var årets nyord i 2025. Begrepet viser til en ny maktkonsentrasjon der økonomisk, teknologisk og politisk innflytelse smelter sammen. Mange av teknologiselskapene har tette bånd til Trump-administrasjonen og liker ikke reguleringer som står i veien for kommersiell handlefrihet.

Det kommer stadig nye eksempler på hvilke konsekvenser dette har i praksis. Da Microsoft stengte e-postkontoen til sjefsanklageren i Den internasjonale straffedomstolen (ICC), ble mange europeiske land minnet om hvor sårbare vi er. Utestengelsen skjedde etter amerikanske sanksjoner mot domstolen, som følge av arrestordre mot statsminister Netanyahu og andre israelske tjenestemenn for påståtte krigsforbrytelser i Gaza.

I Kina, den andre teknologiske stormakten i verden, kan myndighetene pålegge kinesiske selskaper å dele personopplysninger med dem. Diskusjonen om de hundrevis av kinesiskproduserte bussene som kjører rundt i Norge er også illustrerende. Busser utgjør kritisk infrastruktur i for eksempel evakueringssituasjon – og spørsmålet som er reist er om disse kan fjernstyres eller settes ut av drift av produsenten.

Europeiske verdier under press

Personopplysningene våre befinner seg midt oppi det hele. De er tett vevd inn i tjenestene og den digitale infrastrukturen som kan utnyttes, enten til angrep, overvåking, påvirkning eller manipulering av informasjon.

Som et lite og sårbart land har Norge en lang tradisjon for å støtte opp under en regelbasert verdensorden. For å møte en fremtid som utfordrer denne tradisjonen ser vi et tydelig behov for å vurdere graden av kontroll vi har over teknologisk infrastruktur og dataene som flyter i den.

Personvernregelverket i Europa er ikke bare er et vern for den enkelte, men også et uttrykk for europeiske verdier og strategiske interesser. Kravene til dataminimering, rutiner og informasjonssikkerhet styrker den digitale beredskapen i norske virksomheter så vel som samfunnet som helhet. Godt personvern i norske virksomheter styrker samfunnets evne til å stå imot press, påvirkning og digitale angrep.

Personvern som kollektivt vern

I dagens sikkerhetspolitiske situasjon må personvern forstås som en integrert del av Norges totalberedskap. Skal Norge lykkes i Totalforsvarsåret 2026, må personvern, regulering og digital infrastruktur ses i sammenheng – som en del av vårt kollektive vern.  Vi mener det er på tide å få på plass en helhetlig nasjonal plan for digital suverenitet som forener og balanserer innovasjon, sikkerhet og personvern.

2023 har vært et sammenhengende gjennombrudd for generativ kunstig intelligens, og «KI-generert» er årets nyord. Verktøyene er både artige og nyttige, men utfordrer også personvernet. Vi markerte dagen med et arrangement om tematikken, og løfter her frem noen høydepunkter fra dagen.

Hva skjedde i 2023?

Med Open AI ble generativ KI allemannseie og representerer denne generasjonens viktigste teknologigjennombrudd. Mange mener at hemmeligheten bak suksessen ligger i at modellen oppleves menneskelig når du bruker den. Det ligger dessuten stor variasjon av muligheter i store språkmodeller, fra å lage chatbots og programmeringskode til å skape kunst og oversette tekster, for å nevne noe.

Denne kraftige teknologien har også noen skyggesider knyttet til de enorme datamengdene modellen er trent på, slik som manglende åpenhet og potensial for misbruk av ondsinnede aktører. Som konsekvens krevde 1000 eksperter et midlertidig forbud, og idet italienske datatilsynet påla OpenAI om å stanse all behandling av data fra italienske brukere, kunne direktør i Datatilsynet, Line Coll, fortelle.

Av andre saker med stor betydning i 2023 trakk Line frem følgende:

• EU-U.S. Data Privacy Framework: Et nytt avtaleverk som gjør det mulig å overføre personopplysning mellom EU og USA.   
• Meta-saken: Datatilsynet fattet et vedtak om at Metas behandling av personopplysninger for adferdsbasert markedsføring var ulovlig på Facebook og Instagram.
• Barns personvern neglisjeres: Amazon fikk bot for å lagre taledata gjennom Alexa og klokker som primært brukes av barn. TikTok fikk bot for ikke å ha godt nok personvern for mindreårige. I Norge har strømming av barneidrett vært en het potet.

Trender i 2024

Direktør i Teknologirådet, Tore Tennøe, gikk gjennom noen trender og forsøkte å se inn i personvernets umiddelbare fremtid. Det knyttes blant annet stor interesse til bruken av ansiktsgjenkjenningsteknologi i tiden fremover, som for eksempel under OL i Paris. Skal man kunne gjenkjenne ansikter, eller bare posisjoner og mistenkelige objekter? Diskusjonen aktualiserer etterretningsbehov mot retten til privatliv.

AI Act er nylig vedtatt, og blir et avgjørende rammeverk for utviklingen av KI fremover, også med hensyn til bruken av biometri, som i ansikts- og følelsesgjenkjenningsteknologi.

2024 markerer antakeligvis begynnelsen på slutten på den opprinnelige overvåkingsteknologien – informasjonskapselen. Google vil kutte det ut i sin nettleser Chrome i løpet av 2024.

Nysgjerrig på å se dypere inn i spåkula? Se opptaket! (link nederst i dette blogginnlegget).

Kan man trene språkmodeller med data fra nettet?

I utviklingen av Open AI ble det brukt enorme mengder data fra en stor variasjon av kilder. Selskapet er sparsomme med å fortelle hvor de har hentet data fra. Tore viste imidlertid en analyse av et snapshot som viste kilder som sosiale medier, nettsider, elektroniske bøker, et valgregister og personlige blogger. Både Google og Open AI har fått søksmål mot seg grunnet denne typen praksis.

Det sentrale i en personvernsammenheng er at man må ha et lovlig behandlingsgrunnlag for å kunne behandle personopplysninger. Vi diskuterte behandlingsgrunnlaget «berettiget interesse», og i hvilken grad dette kan brukes til å innhente data. Det er flere saker knyttet til dette i Europa nå.

Behandlingsgrunnlag er altså nøkkelen, også til andre modeller innen ulike domener som for eksempel finans, utdanning og helse. Dataene får stadig nye formål, og utfordrer eksempelvis både pasientenes og de ansattes rett til personvern. Her er det noen utfordringer. Skal man spørre om samtykke igjen? Hva gjør man med de som sier nei? Bør man heller anonymisere eller bruke syntetiske data?

Kunstig intelligens og personvern i den virkelige verden

Eivind Arntsen er advokat og leder av Juridisk ABC, en tjeneste basert på generativ KI som skal gjøre det enklere for arbeidsgivere å manøvrere riktig innenfor arbeidsrett. De ønsker å tilpasse tjenesten med å gi den tilgang til dommer og lovtekst, noe som utgjør deres primære utfordring. Juridisk ABC er for øvrig ett av fire prosjekter i Datatilsynets regulatoriske sandkasse våren 2024.

Umair M. Imam er sjef for data og KI i Ruter, og har erfaring med å bruke KI i et titalls prosjekter i Ruter. De bruker for eksempel generativ KI for å analysere klager. Brukere deler ofte data om seg selv i disse klagene, noe Ruter løser ved hjelp av en algoritme som «gjemmer» persondataene.

Julie Lødrup er førstesekretær i LO, og benyttet anledningen til å løfte frem prinsippet om arbeidstakeres rett til medbestemmelse. Den fungerer stort sett godt på alle felt i det norske arbeidslivet, unntatt ett: digitalisering. Hun mener dette skyldes at både arbeidsgivere og arbeidstakere anser teknologi generelt, og kanskje KI spesielt, som noe vanskelig og som kun angår teknologene. De som skal bruke teknologien bør involveres. Hun fremhevet også utfordringen med at teknologien som anskaffes ofte er laget i land med andre arbeidsmodeller som ikke er like opptatt av arbeideres rettigheter. Om programvaren har funksjonalitet som gjør det mulig å overvåke de ansatte, kan det være lett for arbeidsgiver å la seg friste.

Er politikken tilpasset terrenget?

På fjorårets personverndag ble en nasjonal personvernpolitikk diskutert, og i år fulgte vi opp med siste status i politikken. I løpet av sommeren 2024 skal en ny digitaliseringsstrategi og en ny personvernstrategi være ferdig, og de to skal henge tett sammen, fortalte statssekretær Gunn Karin Gjul (Ap). For å unngå at denne politikken ender opp med kun strategier og lite handling, ønsker Grunde Almeland (V) en mer demokratisk forankret stortingsmelding på temaet.   

En annen stor sak er KI-forordningen (AI Act), som vil treffe stortinget gjennom lovgivning. Gjul orienterte om at dette er EØS-relevant, og at myndighetene er i gang med dette arbeidet allerede. Det er ikke bestemt hvordan dette skal organiseres, og Digitaliserings- og forvaltningsdepartementet har gitt DFØ i oppdrag å utrede mulige organisatoriske systemer som algoritmetilsyn, overordnet tilsyn og rapporteringsordninger.

Avslutningsvis spurte Tore, på vegne av en venn, om det er greit å ha en KI-kjæreste. Panelet var enige om at det måtte være opp til den enkelte, men med ett premiss: at leverandøren av KI-kjæresten opererer innenfor loven. Og det skal vi hjelpe dem med, rundet Line av med. 

Se opptak av hele arrangementet på Datatilsynets nettsider.

Fremover vil flere trender og teknologier utfordre personvernet. Spesielt kunstig intelligens (KI) er for tiden i alles bevissthet og noe enhver snakker om – med eller uten personvernbriller. Men hvilke tanker gjør du deg om nevroteknologi innen helsesektoren og helseforskning, neste generasjon Internet of Things (IoT) eller desentralisert økonomi og digitale sentralbankpenger? Eller hva med tendensen til all altoppslukende og avhengighetsskapende teknologi mer generelt?

Hamstring av data — hva er nødvendig?

Det teknologiske landskapet flommer over av data, vi lagrer bilder og tekst både som enkeltmennesker og i virksomheter, i stat og kommune. Innen 2025 spås det at vi vil mangle mennesker med IT-ekspertise, og jeg tror folk flest ikke vil klare å henge med på den digitale utviklingen.

Fra år 2018 til 2025 vil det globale datavolumet øke med fem-gangeren, ifølge et estimat av EU-kommisjonen i forbindelse med sitt arbeid med EU Data Act. I 2018 lagret vi totalt 33 ZB. For å illustrere størrelsen: dersom du har et nettbrett som kan lagre 512 GB, så ville 33 ZB danne et tårn med slike nettbrett herfra til månen. Og i 2025 vil vi ha fem slike tårn. Mengden data øker med 1260 nettbrett pr sekund. I samme periode vil etterspørselen på IT-eksperter dobles, fra nesten 6 millioner i 2018, til 11 millioner i 2025. Det er neimen ikke sikkert at de digitale ferdighetene til folk flest ikke øke vil øke i takt med teknologiutviklingen.

Dette skjer samtidig med at europeere vil møte et stadig mer gjennomdigitalisert samfunn. EU-kommisjonens rapport Europe’s Digital Decade: digital targets for 2030 antar at alle nøkkeltjenester i EU vil være digitalisert innen 2030, at alle borgerne vil ha en digital ID og at samme borgere vil ha digital tilgang til helsejournalen sin.

Men akkurat hva, av alt vi lagrer av data, er virkelig nødvendig å lagre, både fra et personvernperspektiv og et bærekrafts- og miljøperspektiv? Dette er et viktig spørsmål som i hvert fall enhver som forvalter personopplysninger plikter å ta stilling til.

Dataøkonomi

Vekstpotensialet til dataøkonomien er stor, og data er grunnlaget for mange nye digitale produkter og tjenester. Bruken av tilkoblede objekter, IoT, genererer stadig mer data.

Tidligere nevnte Data Act, dataloven fra EU, vil gjøre data mer tilgjengelig for ulike aktører på tvers alle økonomiske sektorer i EU for «for a fair and innovative data economy». Men samtidig vil den sette opp regler om hvem som kan bruke data, hvilke data ulike aktører skal ha tilgang til og til hvilket formål de skal bruke dataen til. Loven har også en grenseflate mot personvernforordningen, og vil etter hvert også implementeres i Norge.

Når dine og mine data skal brukes og deles på en slik måte, er det helt klart at informasjonssikkerheten er avgjørende, og derfor har vi som enkeltindivider rettigheter og virksomheter plikter i personvernforordningen.

Hva vil kunne utfordre personvernet fremover?

Vi vil nok stå overfor flere teknologier som utfordrer oss fremover, og som vi sammen må finne løsninger på.

I den økende datamengden omtalt over, vil vi møte på utfordringer av typen mangel på kontroll og fravær av ansvarlighet. Neste generasjon IoT, som bidrar til økende innsamling av data, med storstilt sammenkobling og deling av data, er et eksempel på en teknologi som vil stå overfor slike utfordringer.

Bruk av kunstig intelligens vil utfordre lovligheten i behandlingen av personopplysninger ved trening og i produksjon, i tillegg til utfordringer knyttet til åpenhet, nøyaktighet og rettferdighet. Samtidig vil kunstig intelligens utfordre tilliten vi har til det digitale på bred front – tillit til tjenester, bilder, video, tekst og stemme. Hva er ekte, hva er sant? Samtidig vil kunstig intelligens kunne brukes for å indikere trusler og forbedre informasjonssikkerheten.

Nevroteknologi er teknologi som samler, analyserer og bruker informasjon som produseres og samles inn direkte fra hjernen og nervesystemet vårt (såkalt nevrodata). Teknologien kan brukes til å måle alt fra konsentrasjonsnivå på jobb til å utvikle smarte proteser som etterligner hjernemønstre for å gi raskere respons. Utfordringene med slik teknologi er potensielt mange, men eksempler er diskriminering, enkeltindividers mangel på forståelse av teknologi og terminologi, samt koordinering av felles regler og felles forståelse på et område som både er vitenskapelig, etisk og juridisk komplekst.

Såkalt oppslukende teknologi omfatter teknologi som skaper ulike former for sterke, intense opplevelser, men som potensielt også er avhengighetsskapende og besettende. Ett eksempel er VR-headsett, som gir oss virtuelle opplevelser. Slike enheter samler inn personopplysninger om øyebevegelser, pupillstørrelse, hjertefrekvens, stemme, håndbevegelser osv. Blant utfordringene vi møter på her er å vite hvem er den behandlingsansvarlige, hvorvidt de har lovhjemmel for behandlingen av data, åpenhet, deling og bruk av dataen til andre formål.

En annen ting vi ser er at de store teknologiselskapene vil enda mer på banen med egne betalingstjenester. De kan ha andre formål enn aktører vi er bedre kjent med i dagens og gårsdagens markedsøkonomi. Det foreslåtte tredje betalingstjenestedirektivet (PSD3) fra EU bygger på ideen om at tredjeparter ikke bare skal få tilgang til bankenes kjernesystemer, men også til sjiktet av tjenester bankene har bygget for sine nettbaserte grensesnitt, på toppen av kjernesystemene. Vi vet at de store teknologiselskapene har mye kapital, men også at de kan holde kortene tett til brystet når det gjelder åpenhet rundt bruk av innsamlet informasjon. Utfordringene på dette området kan for eksempel knyttes til lovlighet og åpenhet, eller til respekt for og samsvar med personvernforordningen mer generelt.

Digitale sentralbankpenger (DSP) er digitale kontanter, en type elektroniske penger utstedt i den offisielle pengeenheten som brukes i et land. DSP er videre smarte, digitale kontanter som kan programmeres. DSP vil potensielt kunne få ulike personvernkonsekvenser avhengig av hvilken modell som velges. Konkrete utfordringer kan være sporing, mangel anonymitet ved all type handel og manglende frihet for eksempel fordi andre personer eller aktører kan legge betingelser på penger som overføres til deg.

Et kjennetegn ved all ny teknologi er at det kan brukes med både gode og onde intensjoner. Sagt med andre ord: En teknologi kan både benyttes til å oppklare sikkerhetshendelser, men også til å skape sikkerhendelser. Trusselaktører, for eksempel kriminelle, benytter de samme teknologiene som de som forsøker å beskytte informasjon, og vil kunne bruke teknologien i digitale angrep for å oppnå ulik vinning. Personopplysninger er så å si alltid inngangsverdien til et digitalt angrep. Utfordringene her at den som forvalter våre personopplysninger, den behandlingsansvarlige, må sørge for tilstrekkelig sikkerhet, som innbefatter bevissthets- og sikkerhetsopplæring til sine ansatte.

Verdt en lytt?

Teknologi og personvern har også i høyeste grad en slagside til politikk. Innleggsforfatter Veronica deltok nylig i en podkast om nettopp dette temaet, titulert «Teknologi i personvernets tjeneste», som er del av Datatilsynets podkastserie som følger opp Personvernkommisjonens rapport. Se oversikt over alle våre podkaster på datatilsynet.no.

Idet jeg lander i Tel Aviv, får jeg en melding: Du bør ikke dra til Jerusalem i morgen, for det har vært et terrorangrep der. Jeg fikk også råd om å holde meg unna Tel Aviv sentrum lørdag kveld av hensyn til store demonstrasjoner. Starten på reisen kunne vært bedre.

Det er en turbulent tid i Israel – landet har hatt fem valg i løpet av de fire siste årene. Den nyeste regjeringen har blitt karakterisert som den mest høyrevridde i landets historie, hvor de religiøst-konservative partiene har fått stor makt. Et eksempel illustrerer poenget: Sikkerhetsministeren er kjent for å ha hengt opp et portrett av terroristen Baruch Goldstein i stua og for å ha sparket en transkvinne under en Pride-parade i 2008. Mange tror regjeringen vil gi ultraortodoks jødedom en større rolle i Israel, og den vurderer utvidelse av israelske bosettinger på Vestbredden.

Den nye regjeringen foreslår dessuten store juridiske reformer. Israel har ingen grunnlov, og derfor har domstolene tatt en rolle i å føre kontroll med at nye lover respekterer enkelte grunnleggende rettigheter. Dette har ikke falt i like god jord hos alle. Regjeringen ønsker nå større innflytelse over hvem som blir utnevnt som dommere, og den ønsker at det israelske parlamentet skal kunne overstyre domstolene ved alminnelig flertall. Med andre ord, selv om israelsk høyesterett skulle komme frem til at en ny lov strider mot grunnleggende rettigheter, kan 61 av de 120 folkevalgte i parlamentet likevel tvinge den gjennom.

Hva har dette med personopplysninger å gjøre?

Demokrati og personvern

Jeg dro til Israel for å snakke om såkalte adekvansbeslutninger. Litt forenklet er en adekvansbeslutninger en slags «godkjenning» av land som beskytter personopplysninger tilsvarende godt som Europa. Vi kan relativt fritt overføre personopplysninger fra EØS til land med adekvansbeslutninger, noe som gjør det mye lettere for virksomheter i disse landene å delta på det europeiske markedet.

Det er EU-kommisjonen som gir adekvansbeslutninger, etter innspill fra blant andre Personvernrådet (EDPB). For å få en adekvansbeslutning, er det mange ting som må på plass. Man må for eksempel ha gode personvernregler, myndighetenes inngrep i privatsfæren må være forholdsmessige, og man må ha tilgang til effektive og uavhengige rettsmidler dersom myndighetene går for langt. Mye av vurderingen handler altså om grunnleggende rettsstatsprinsipper.

Israel er blant landene som har en adekvansbeslutning. Spørsmålet nå er om de foreslåtte reformene vil innebære at adekvansbeslutningen må trekkes tilbake siden domstolenes uavhengighet er under press.

Penga styrer?

I Israel pågår det nå en diskusjon om hva som er mest demokratisk. Regjeringen peker på at det er mer demokratisk at de folkevalgte i parlamentet bestemmer enn at utpekte dommer gjør det. Opposisjonen fremholder at demokrati er mer enn flertallsstyre og at maktfordeling og menneskerettigheter er ufravikelige demokratiske grunnelementer.

Det er neppe tilfeldig at de største demonstrasjonene mot reformene finner sted i Tel Aviv. Dette er en moderne, tolerant og mangfoldig storby som skiller seg ut i regionen. En venn sa det slik: Israel har en befolkning på ni millioner, men «alle» homofile bor i Tel Aviv. Å gi det regjerende flertallet vide fullmakter kan være dårlig nytt for de moderate og sekulære, for kvinner, skeive og palestinere.

Demonstrantene har imidlertid én ting på sine side: Økonomien.

Dersom reformene går gjennom, og dersom regjeringen fortsetter sin harde linje på Vestbredden, kan det føre til at Israels kredittrating nedvurderes. Dette kan igjen påvirke israelsk økonomi negativt. Det vakte dessuten oppsikt når gründeren av en israelsk tech-enhjørning varslet at hun vil flytte firmaets midler fra landet som svar på reformene. Teknologisektoren er en viktig del av Israels økonomi.

Et eventuelt bortfall av landets adekvansbeslutning vil det neppe gjøre israelsk økonomi noen tjenester, det heller.

Mr Chair, Members of the LIBE Committee, thank you for the invitation and for the opportunity to share our experiences.

Looking back on the last four years, I believe that we as Data Protection Authorities have come a long way. Adapting to the GDPR has been a learning process for everyone, ourselves included. It appears that more and more enforcement action is being carried out across Europe, and the level of maturity amongst data controllers is ever increasing.

However, the previous four years have also shown that there are enforcement challenges, and these need to be discussed candidly.

Data Protection Authorities lacking sufficient resources is a particularly significant hurdle, and this makes sensible prioritisation difficult. At the Norwegian Data Protection Authority, we aim to focus our efforts towards big, impactful cases. However, we are also mindful of our duty to handle all of the complaints we receive with all due diligence and within a reasonable time. With the current resource situation, we find that it is difficult to achieve both of these goals simultaneously. We constantly work on finding a fair balance between the two that will provide effective protection and vindication of data subjects’ fundamental rights. 

Lack of resources also manifests itself in the One-Stop Shop mechanism, where Data Protection Authorities depend on each other to handle cases. If just one Data Protection Authority lacks resources, it can quickly have EU-wide consequences. It should also be noted that the EDPB Secretariat offers invaluable support to Data Protection Authorities, and so their resource situation is essential as well.

Fragmentation of enforcement competence is another issue. For example, in Norway, we in the Data Protection Authority are not competent to enforce the ePrivacy rules. This prevents us from approaching data protection issues in a holistic manner, while data subjects and data controllers may need to correspond with two or even three Norwegian authorities in order to resolve an issue. We are concerned that the upcoming AI Act may lead to further fragmentation if Data Protection Authorities are not designated as the national supervisory authorities under that framework. We hope that this will be contemplated by the legislators.

Another point is that national enforcement cannot be carried out in isolation. At the national level, we see many data controllers that exceed industry standards and that invest in innovations leading to a higher level of data protection. However, these controllers struggle to compete with big, international technology companies that base their business models on intrusive tracking and profiling practices. The big tech companies generally have their main establishment in another EEA Member State, meaning that another Data Protection Authority than ourselves is the lead supervisory authority. Enforcing the GDPR strictly against the national controllers without being able to hold the big technology companies to the same standard, will effectively deter any attempt at data protection friendly innovation.

Of course, this brings us to the interplay between national enforcement and the One-Stop-Shop mechanism. While I do not want to pre-empt the next panel which is dedicated to that topic, it is difficult to avoid saying a few words about how this mechanism works in practice from the perspective of a Data Protection Authority due to its impact on our national enforcement.

In our experience, as many of the practical issues of the One-Stop-Shop mechanism have gradually been resolved, it now works very well for the majority of cases. It is a good tool for sharing our views and assisting each other, and new final decisions are issued regularly.

However, we believe that the One-Stop-Shop may not always work well for those cases where all, or almost all, Data Protection Authorities across the EEA are concerned supervisory authorities. The biggest controllers tend to flock to the same jurisdictions, meaning that just a handful of Data Protection Authorities are responsible for all the biggest cases. Consequently, the enforcement burden is very unevenly shared, which we believe is unfair and unfeasible given the varying resource restraints faced by Data Protection Authorities.

More worrisome, for cross-border cases with effects across Europe, the extent of enforcement will hinge on how a lead supervisory authority uses its discretionary power to scope its own investigations. Furthermore, the national procedural rules in the jurisdiction of the lead supervisory authority will determine how smoothly and timely an EU-wide case is resolved. We are cognisant that both of these factors have caused concern in the data protection community.

Therefore, we would argue that for cross-border cases concerning, let’s say, two thirds or more of the EEA Member States, there may be scope to explore if other enforcement models would be more fit for purpose, for example models entailing more rotation and burden sharing, or entrusting a more direct enforcement role to the EDPB in some cases. In this regard, we have noted that a number of the biggest cases end up going to the EDPB for dispute resolution under Article 65 anyway, and that the EDPB successfully resolves these cases effectively within the applicable legal deadlines. Additionally, as a matter of EEA law, the EDPB has the advantage that its legal authority encompasses the three EEA EFTA States Norway, Iceland and Liechtenstein. A more active role for the EDPB may therefore be a feasible alternative.

In sum: Resources, fragmentation of enforcement competence, and the functioning of the One-Stop Shop mechanism for EU-wide cases pose the greatest challenges for effective enforcement. Fortunately, these are issues to which solutions can be found.

Thank you for your attention.

På lørdag skrev Øyvind Husby at Datatilsynet bommer om felles behandlingsansvar ved bruk av Facebook-side. Han sier dette er problematisk fordi vi som tilsyn forventer at vår vurdering skal være en mal for andre.

Vi har vært tydelige på at vi ikke opptrådte som tilsyn da vi vurderte vår bruk av Facebook. Vi har presisert at man ikke trenger å bruke samme metode som oss og at alle må gjøre sine egne vurderinger.

Misforstått

Når det gjelder jussen, ser Husby ut til å tro at det må foreligge en eksplisitt avtale om formål og midler for at felles behandlingsansvar skal inntre.

I Wirtschaftsakademie- og Fashion ID-dommene som Husby peker på, forelå det ingen enighet mellom partene. Partene brukte dessuten personopplysninger til litt ulike ting. Likevel konkluderte EU-domstolen med felles behandlingsansvar. Begge parter bidro nemlig til innsamling av data og å sette rammene for behandlingen, samtidig som de hadde en felles økonomisk interesse. Det er dette vi har lagt til grunn i våre vurderinger.

I førstnevnte dom finner vi uttalelser om omfanget av felles behandlingsansvar for Facebook-sider. Vi er enige med IKT-Norge i at man ikke har ansvar for alt som skjer på Facebook, men basert på dommens ordlyd kom vi frem til at omfanget av felles behandlingsansvar er videre enn hva Facebook legger opp til i sitt avtaleverk. IKT-Norge ser ut til å stole blindt på dette avtaleverket.

Huseby får det til å se ut som at vi står alene i vår forståelse, men vår tolkning er i tråd med retningslinjene til Personvernrådet, der alle 30 datatilsyn i EØS er medlemmer.

Vranglære

At andre er uenig i vår risikovurdering, er uproblematisk. Her prøver imidlertid IKT-Norge, et interesseorgan som representerer Facebook, å snu opp ned på det EU-domstolen har sagt om Facebook.

Det er skremmende, men ikke nytt.

Schrems II-dommen, som også gjaldt Facebook, sier litt forenklet at USA ikke har god nok beskyttelse av personopplysninger. Facebook har tolket seg bort fra dommen og sender derfor data fritt til USA likevel.

Vi vet at Facebook ofte gjemmer seg bak interesseorganer når de skal lobbe. Dette er vanlig taktikk i Brussel, og vi må være oppmerksomme på det samme her hjemme.

Udemokratisk

Husby avslutter innlegget sitt med å påpeke demokratisk deltakelse – og det er kjernen av problemet.

Facebook bestemmer hvem som får og ikke får se ulike budskap, basert på inngripende sporing som kan medføre nedkjølingseffekt. Nylige avsløringer viser at algoritmene premierer destruktivt og splittende innhold, og Facebook har blitt anklaget for å bidra til vold mot rohingyaene i Myanmar.

At Facebooks interesseorganisasjon skal definere demokratisk deltakelse, er mildt sagt problematisk.

Vårt mål er at Facebook skal respektere demokratiet og rettighetene våre. Det er trist at IKT-Norge har andre mål.

Dette innlegget ble først publisert i Dagens Næringsliv (02.02.22), og er skrevet av konstituert direktør Janne Stang Dahl og seksjonssjef Tobias Judin.

De enorme datamengdene handler om deg og meg

Nylig fikk jeg tilsendt en oppsummering av året 2021 fra Google Timeline. Her er min dagslogg fra 1. mars: Jeg dro hjemmefra kl. 06:58, tok en blodprøve kl. 07:50, var i Datatilsynets gamle kontor kl. 08:13, i våre nye lokaler kl. 08:45, handlet på Match kl. 17:03, Vitus Apotek kl. 17:18, og kom hjem kl. 18:15.

Kort sagt: Google visste alt jeg gjorde denne dagen.

Men Google er ikke alene om å samle data. I skolen samles det inn store mengder data om elevene. I helsesektoren ligger våre mest sensitive data lagret, og politiet og etterretningen har vide fullmakter til å samle inn data om oss vanlige borgere. Slik kunne jeg fortsatt, sektor for sektor. Denne enorme datamengden handler om deg og meg, om vanene våre, sykdommene våre, interessene våre, om hva vi spiser og når vi tar blodprøver, altså hvordan vi lever livene våre.

Noe måtte gjøres, og i 2018 kom nye regler fra Brussel.

GDPR og domstolsavgjørelser

Personvernforordningen GDPR var et tidsskille i personvernets historie. Nye plikter, høyere bøter, bedre samarbeid på tvers av land og bedre rettigheter, er noen stikkord. Plutselig handlet personvern om tillit, troverdighet, forretningsutvikling og respekt for personen bak opplysningene. Vi ser også at GDPR virker. Det er skrevet ut gebyrer på hundrevis av millioner mot selskaper som bryter regelverket. Virksomhetene plikter å melde brudd på personopplysningssikkerheten, og Datatilsynet mottok over 2 300 slike meldinger i fjor. Flere forbrukere klager inn til oss, og sakte, men sikkert, ser vi at personvernvurderingene i nye lovforslag blir bedre.

Også domstolene har spilt en viktig rolle. Sommeren 2020 ble avtalen om overføring av data til USA kjent ugyldig av EU-domstolen i Schrems II–dommen. Grunnen var at overvåkningslovene i USA er så omfattende at europeernes data ikke er trygge over dammen. Domstolen satte også ned foten for datalagringsdirektivet, og innførte også en rett til sletting av søketreff som ga et skjevt bilde av virkeligheten. Nylig kom et lovforslag som styrket barns rettigheter overfor foreldre som vil dele bilder av dem på nett.

Nå er selvsagt ikke utviklingen på lovgivningsfronten entydig positiv. Vi har fått en rekke nye overvåkningsbestemmelser de siste ti årene, blant annet er det innført dataavlesing og det er fremmet forslag om masseovervåking av vår internettbruk. Men det positive er at debatten om personvern nå favner bredt.

Nå taler Tekna, Advokatforeningen og andre personvernets sak. Advarslene mot et overvåkingssamfunn kommer også fra kanskje noe uventet hold. Riksadvokaten skrev i sin høringsuttalelse til e-lov: «For vidtgående kontrollregimer vil før eller siden utfordre det alminnelige publikums tillit til kontrollørene og de systemene de representerer».

Avhengighet av amerikanske selskaper

I 2010 dominerte energisektoren i oversikten over verdens mest verdifulle selskapet. Tolv år etter kjemper de amerikanske bigtech-selskapene Apple, Microsoft, Alphabet og Amazon om pallplassen. Da Schrems II–avgjørelsen kom, ble europeiske virksomheter grepet av panikk, og avslørte hvor totalt avhengig vi har gjort oss av de amerikanske gigantene. Det er trist at ikke europeiske bedrifter står klare til å ta de markedsposisjonene gigantene nå mister. Naivt? Ja, kanskje, men veldig overrasket kan næringslivet neppe ha blitt. 2013 var en oppvåkning for mange, da Edward Snowdon avslørte massiv overvåkning av europeiske borgere. Det er de samme overvåkningsprogrammene som gjorde at EU-domstolen satte foten ned for ukritisk overføring av data til USA. Her har noen sovet i timen.

Og hva med forbrukerne? Kan vi ikke la være å bruke Facebook og Google? Nei, de har blitt en sentral del av livene våre og gir oss underholdende og nyttige tjenester. Jeg kjører bil, selv om det forurenser, og bilturen til hytta er det mest risikable jeg gjør. Jeg drikker øl og vin, selv om det er helseskadelig. Men trafikk og alkohol er strengt regulert, for å gjøre faren og skaden minst mulig. Det er slik vi må tenke overfor bigtech også.

Personvern og sikkerhet

I januar 2021 ble Østre Toten kommune utsatt for et stort dataangrep. Personopplysninger ble dumpet på det mørke nettet. Opprydningsarbeidet har vært enormt ressurskrevende. Stortinget har blitt utsatt for to fiendtlige angrep. Nylig ble også Nortura og Amedia rammet. Hva kan vi lære av disse sakene, for å redusere sannsynligheten for at man selv blir rammet? Et stikkord er risikovurderinger, og at man tetter de hullene man finner slik at løsningene og infrastrukturen der personopplysningene behandler, blir mest mulig robuste.

I 2011 påpekte vi store svakheter med sikkerheten i Østre Toten kommune, men lite ble gjort. Stortinget hadde selv avdekket svakheter i egne løsninger, og hadde besluttet å innføre tofaktorautentisering, men hackerne slo til før det ble gjort.

Det er lett å være etterpåklok, men det er mange norske bedrifter som ikke tar datasikkerhet på tilstrekkelig alvor. Konsekvensene kan bli fatale.

Og hva nå?

Personvernet vil garantert forandre seg mye de neste ti årene. Politikerne må regulere teknologigigantene, og Norge må gå foran. Vi må tørre å si nei til overvåkningsbasert markedsføring. De kollektive konsekvensene av overvåkning og sporing må bli en like naturlig del av samtalen som de kollektive konsekvensene av global oppvarming.

Økt diskriminering og overvåking rammer ofte de svakeste og utsatte gruppene. Lovgiver må utrede konsekvenser for personvernet, ikke som en papirøvelse, men i erkjennelsen av at det å unnlate kan få store konsekvenser for borgerne.

Og til slutt: Vi må fortsette å snakke sammen, vi som skal håndheve regelverket og de som potensielt kan bryte det. Personvern og innovasjon må gå hånd i hånd. Datatilsynets regulatoriske sandkasse må få permanent finansiering, og kanskje kan vi sammen skape et nytt, personvernvennlig Google. På norsk.

Denne teksten ble først publisert i DN.

En rekordstor GDPR-bot fra Luxembourg illustrerer dilemmaet: Trår man feil, kan behandling av personopplysninger gi muligheter på kort sikt og utfordringer på lang sikt. Her er noen råd på veien.

Stemningen var neppe god hos Amazons advokater da de mottok det luxembourgske datatilsynets seneste avgjørelse – også rett før sommerferien, da! Tilsynsmyndigheten mener at Amazons bruk av personopplysninger i markedsføring strider mot Europas personvernregler, GDPR, og at et overtredelsesgebyr stort 746 millioner euro er en passende straff.

Som Vanebo påpeker, har det luxembourgske datatilsynet taushetsplikt om Amazon-saken frem til den er avgjort i rettssystemet. Siden Datatilsynet i Norge er part i saken som berørt tilsynsmyndighet, er vi også tilbakeholdne med å kommentere. Vi kan imidlertid si dette: Hvis Amazon hadde fulgt rådene nedenfor, hadde nok ting gått annerledes. Selv i en tid hvor datatilsynsmyndighetene skjerper håndhevingen, finnes det grep man kan ta for å unngå å havne i tilsynsmyndighetenes søkelys.

Fornøyde forbrukere får velge

Mange GDPR-klager gjelder manglende valgfrihet. Ikke sjeldent definerer virksomheter hva kundene ønsker at personopplysningene deres skal brukes til – uten å spørre kundene, og gjerne i strid med empiri. For eksempel har flere virksomheter sagt at kundene ønsker målrettet markedsføring, selv om Datatilsynets siste personvernundersøkelse viser det stikk motsatte.

Noen ganger gir virksomhetene valgfrihet på papiret, men gjemmer valgene såpass godt at de fleste gir opp underveis. For hvert ekstra klikk man må gjennom for å si nei, desto mindre frivillig er valget.

Én ting er at slike praksiser kan medføre smekk på fingrene fra tilsynsmyndighetene. En annen ting er at det frustrerer eksisterende kunder og skremmer bort nye. Personvernundersøkelsen vår viste for eksempel at halvparten av oss har unngått å gjennomføre et kjøp i en nettbutikk fordi vi ikke stoler på hvordan nettbutikken behandler personopplysningene våre. Dette er et godt eksempel på samspillet mellom personvern og god forretning.

De gode forventningene

Et annet og beslektet element, som stadig oftere legges vekt på i europeisk tilsynspraksis, er kundenes berettigede forventninger til behandling av personopplysninger. For eksempel vil kunder ofte forvente – og forutsette – at opplysninger de legger igjen hos en virksomhet de stoler på, ikke deles fritt med utenforstående. Og nei, her kan man ikke gjemme seg bak kryptiske formuleringer om datadeling i lange personvernerklæringer som de aller fleste ikke leser.

På et mer overordnet nivå kan vi si at kunder som legger igjen data hos en virksomhet, forventer at dataene ikke skal brukes mot deres interesser. De færreste har interesse av å miste kontrollen over egne personopplysninger eller at personopplysningene skal brukes til å prakke på en ting man ikke vil ha. Dessverre er det ofte nettopp dette som skjer – og det er derfor Datatilsynet mottar klager.

Bærekraftig datainnovasjon

Løsningen er neppe å slutte å bruke data – og det finnes tross alt mange tilfeller der vi forventer og har glede av at personopplysningene våre behandles. Spørsmålet er i stedet hvordan vi kan bruke data riktig. Data bør jobbe for kundene, ikke imot – og det bør i størst mulig grad være opp til kundene å bestemme hva de vil. Fornøyde kunder blir værende, og de klager ikke til tilsynsmyndighetene.

Dette er åpenbart lettere sagt enn gjort. Samtidig kan man nok si at virksomheter som innoverer databruken i denne retningen, har det lengste tidsperspektivet. Vi vet ikke hva fremtiden bringer, men vi vet at bærekraftig databruk har de beste forutsetningene for å møte den.

Les innlegget på digi.no

Ut av hjemmekontorvinduet ser jeg en myk ås formet gjennom sikkert millioner av år (forbehold: jeg er ikke geolog). Så skifter jeg fokus til PC-skjermen og ser en taggete epostinnboks formet av et år med Schrems II-dommen. «Skal vi slutte med digitalisering?» «Er det ikke bedre å dele data med amerikanerne hvis det gir oss bedre sikkerhet mot ondsinnede hackere?» «I can haz risikovurdering?!»

Spørsmålene er mange. Forhåpentligvis kan den nye veilederen vår pense tanken inn på rett spor. Dessuten har vi allerede noen planer for hvordan vi kan gjøre neste versjon av veilederen bedre og mer til hjelp. Uansett håper vi det er nyttig at all informasjonen vår om tredjelandsoverføringer er samlet på ett sted og at informasjonen er oppdatert.

Veilederen finner du her: Overføring av personopplysninger ut av EØS | Datatilsynet

Hva er greia?

Schrems II-dommen er en dom fra EU-domstolen. Dommen handler om mange ting, men det mest sentrale er at det skal mer til for å overføre personopplysninger ut av EØS nå enn før. I tillegg til å ha papirarbeidet på plass, må virksomheter vurdere beskyttelsesnivået for personopplysninger i landene som data flyter til. Hvis beskyttelsesnivået i praksis er lavere enn i EØS, må man iverksette ytterligere tiltak hvis mulig eller la være å overføre.

Mange har nok håpet at man kan ha en risikobasert tilnærming til tredjelandsoverføringer. Det dommen sier, er imidlertid at man må foreta en helthetsvurdering. En helhetsvurdering kan gi handlingsrom, men det er ikke det samme som en risikovurdering.

Som min gamle kjemilærer pleide å si: «If you’re not confused, you’re not paying attention.»

Europeisk enhet

Veilederen vår er i tråd med anbefalingene til Det europeiske personvernrådet, eller EDPB. Ett av hovedmålene med GDPR er at vi skal tolke regelverket likt i hele Europa. Det er nettopp dette som er EDPBs oppgave: Å sørge for at tilsynsmyndighetene i EØS håndhever loven på samme måte. At vi skal tolke EU-lover likt som i Europa er også en sentral forutsetning i EØS-avtalen. Derfor er vi lojale mot EDPB.

Veiledere er av natur bare veiledende. Samtidig er veilederne fra Datatilsynet og EDPB uttrykk for hvordan vi vil tolke lover og dommer når vi kommer på tilsyn, enten saken er grenseoverskridende eller ikke. Hvis man med vilje viker fra disse veilederne, må man også være forberedt på at man kan bli ilagt forbud og sanksjoner. Hvis man tar noen snarveier, er det fort gjort å gå feil og ende opp tilbake der man begynte. Med andre ord tar man en risiko hvis man velger sin egen vei.

Menneskerettigheter til besvær

Når vi skal forstå Schrems II-dommen, er det viktig å huske at den handler om menneskerettigheter. Å opprettholde menneskerettigheter er nesten alltid vanskelig og ofte litt vondt. EU-domstolen mener at vi har tolket GDPR feil frem til nå. Vi har gjort oss veldig avhengige av ting vi nå må endre eller kutte ut. Hvis ikke bryter vi personvernet.

Norske og europeiske virksomheter sliter med å finne gode alternativer til dagens løsninger. Ofte tilbyr store, amerikanske tjenester bedre informasjonssikkerhet enn de små, europeiske. Derfor føler mange at man må velge mellom pest eller kolera (eventuelt pesto eller cola, sier Tobias, som ikke liker noen av delene).

Vi forstår godt at de fleste virksomhetene ikke er i mål ennå og at omstilling tar tid. Det viktigste for oss er at man er godt i gang med vurderingene og at man i alle fall har plukket lavthengende frukt. Det er nok naturlig å se på Schrems II som et noe mer langsiktig prosjekt. Kanskje kan Schrems II-dommen gi grobunn for mer europeisk innovasjon på sikt? Kanskje vil dette bidra til å opprettholde høy tillit til digitale tjenester i Europa? Helt sikkert er det at presset som europeiske virksomheter legger på amerikanske leverandører, har nådd Det hvite hus. Ryktene vil ha det til at amerikanske myndigheter nå ønsker en politisk avtale med EU om å få på plass en ordning for overføring av personopplysninger til USA innen året er omme.

Mange har dratt seg i håret i frustrasjon over hvor vag GDPR kan være. Dagen man slutter å dra seg i håret over GDPR er dagen man ikke har mer hår igjen. Til gjengjeld kan vi ta på tupeene våre i et ganske fritt samfunn der vi kan mene, interagere, stemme og leve som vi vil.

Det kan være vanskelig å navigere i de mange hundre arrangementene som går av stabelen, mange i parallell, derfor denne guiden til Arendalsuka. Det er viktig å velge riktig, og det å velge riktig i denne sammenhengen er selvsagt å stalke oss i Datatilsynet under uken i august. Men vær obs, denne bloggen kommer med en advarsel: Ting endrer seg fort, nye deltagere kan komme til, innretningen på debattene kan endres og nye kan komme til. Sjekk gjerne linkene under hver programpost for siste, oppdaterte informasjon.

Mandag 16. august: Digitalt demokrati: Smittefritt, men er det for alle?

Data påvirker og data flytter makt, data kan bidra til å avgjøre valg og stenge folk ute fra viktige plattformer. Men har åpenheten en pris, og er den for alle? Denne debatten er den første vi deltar i på årets Arendalsuke, og beskrives slik av arrangøren:

Digitaliseringen har vært avgjørende for å holde Norge i gang under koronapandemien, men med på lasset får vi Facebook-annonser, hacking og konspirasjoner. Pandemien gjør at husbesøk og folkemøter i valgkampen erstattes av innlegg på sosiale medier og samlinger på Teams. Bystyremøter strømmes på Facebook, og innbyggerne kan gi tilbakemeldinger i kommentarfeltet. Men klarer vi å nå alle på de nye arenaene?

Jeg deltar sammen med blant annet direktør Tore Tennøe i Teknologirådet.

Tid: 16.08, kl. 14.00-15.00 | Sted: Demokrativerkstedet i Arendal |Arrangør: Sopra Steria

Lenke til arrangement: https://arendalsuka.no/event/user-view/16611

Tirsdag 17. august: Personvernet slår tilbake

Personvernet er under stadig press, både fra kommersielle aktører og offentlige etater. Nå er tiden inne til å diskutere personvernets kår, og om vi nå endelig går inn i personvernets tidsalder. 

Bakgrunnen for denne diskusjonen er blant annet viktige avgjørelser mot de store teknologiselskapene, søksmål mot Facebook etter oppkjøpet av WhatsApp, viktige dommer fra EMD og EU-domstolen knyttet til overvåkning og Schrems-dommen, som har sendt personvern-sjokkbølger gjennom Europa og USA. I Norge har vi varslet et gebyr på 100 mill. til Grindr.

Arrangementets første panel består av Adele Matheson (NIM), Karsten Friis (NUPI) og undertegnede, og tar for seg den statlige overvåkingen i samfunnet. Det andre panelet tar for seg den kommersielle overvåkingen, og består av Ingrid Lise Blyverket (Forbrukerrådet), Vivi Rignes Wilhelmsen (Forsvarets Høyskole). Jeg deltar også i dette panelet. Moderator for arrangementet er Martin Gundersen i NRKBeta. 

Tid: 17. august kl. 8.00-9.00 | Sted: Samfunnsteltet – jubileumsscene | Arrangør: Datatilsynet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15452

Tirsdag 17. august: Digitalisering i skolen – har vi glemt personvernet?

Personvern i skolen har vært et viktig tema for Datatilsynet i mange år. Nå har Bouvet gjennomført en undersøkelse om personvernets kår i skolesektoren. De beskrives arrangementet slik:

Skolen har blitt kræsj-digitalisert under koronaen. Det svømmer over av nye digitale læringsverktøy og mange skoler har utvist en fantastisk kreativitet. Samtidig er Bouvet bekymret for personvernet til lærere og barn. Derfor har vi gjort en omfattende undersøkelse om status på personvern i skolen. På bakgrunn av undersøkelsen tar vi debatten om konsekvensene av kræsj-digitaliseringen av skolen.

• Er det på tide å dra i bremsen for å sikre at ikke personopplysninger om elever blir misbrukt, eller er det noen skoler som er for strenge i møte med nye apper og digitale tjenester? 
• Må lærerutdanning, skoleforvaltningen og metodefriheten i skolen endres som en konsekvens av digitaliseringen?

Blant deltagerne finner vi Simen Sommerfeldt, teknologidirektør i Bouvet, Tonje Brenna, Stortingsrepresentant fra Arbeiderpartiet og Steffen Handal, leder i Utdanningsforbundet. Jeg deltar fra Datatilsynet.

Tid: Tirsdag 17/8 2021 10:00 – 11:00 | Sted: Castelle | Arrangør: Bouvet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15713

Tirsdag 17. august: Maktkamp og samarbeid i kampen mot klimaendringene

Personopplysninger brukes i dag, litt forenklet, til alt. At vi mottar reklame basert på nettaktiviteten vår er gammelt nytt, men tema for denne diskusjonen bringer oss inn på et nytt felt: Hvordan bruke personopplysninger for å bekjempe klimaendringer? Arrangementet beskrives slik:

Hva kjennetegner de ledende selskapene i den grønne omstillingen? Hva er folkets fotavtrykk? Hva tenker forbrukerne om kommunikasjon og markedsføring av bærekraft? Hvordan ivareta personvern når vi spør om dine data for å ivareta miljøvern? Hvilken rolle og virkemidler har kommunene i å motivere innbyggerne til adferdsendring? 

Rolf Jarle Brøske og Jan-Frode Janson fra Sparebank1 SMN, Anne Kathrine Slungård fra Forbrukerrådet, Børge Brende, President i World Economic Forum, Gunelie Winum fra Ducky og flere holder innlegg for å svare på spørsmålene under arrangementet, der jeg deltar fra Datatilsynet

Tid: 17. august kl. 11.15 – 12.00 | Sted: Arendal kino | Arrangør: Sparebank1 SMN

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16693

Tirsdag 17. august: Kunstig intelligens på arbeidsplassen

Kunstig intelligens er på full fart inn i arbeidslivet. Ny teknologi kan gi både økt verdiskaping og nye arbeidsplasser. Samtidig ser vi eksempler på at kunstig intelligens har ført til diskriminering av minoriteter eller blir brukt til å overvåke de ansatte. Hvordan kan kunstig intelligens bli et gode for alle – og ikke oppleves som en trussel? Hvordan legger vi til rette for god utnyttelse av ny teknologi, samtidig som vi ivaretar sosiale konsekvenser? Hvordan kan de ansatte påvirke utviklingen, og hvordan vil EUs nye regulering av kunstig intelligens påvirke arbeidslivet?

Kari Laumann, prosjektleder for vår regulatoriske sandkasse for kunstig intelligens, deltar fra Datatilsynet.

Tid: 17. august kl. 18.00 – 19.00 | Sted: Clarion Hotel Tyriholmen | Arrangør: Negotia, Finansforbundet og NITO

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16206

Onsdag 18. august: Rundebordsamtale om datadeling

Data har stor verdi og data skal deles, bare så det er slått fast nok en gang. Men i en årrekke har vi diskutert hvordan vi skal dele data på lovlig vis, hvilke begrensninger som finnes og hvordan vi kan overkomme disse. Denne debatten beskrives slik:

Data er en ressurs som samfunnet må utnytte bedre. All offentlig oppgaveløsning og tjenesteutvikling innebærer bruk av data. Viderebruk av offentlig informasjon handler om å gi næringsliv, forskere og sivilsamfunn tilgang til åpne data fra offentlig sektor på en måte som gjør at de kan brukes i nye sammenhenger, skape nye tjenester og gi økt verdiskaping for sluttbrukeren. 

Det er mange gevinster å hente på å dele data bedre, særlig innenfor effektivitet, mulighetsrom og brukeropplevelse. Samtidig møter en raskt på utfordringer knyttet til personvern og datasikkerhet. Det er behov for mer kunnskap om hvordan infrastrukturen, både i statlig og kommunal sektor, kan tilrettelegges for deling av data. 

Tata Consultancy Services (TCS), som IT- og teknologiekspert, ønsker å organisere en rundbordssamtale  med aktører engasjert i dette temaet for å diskutere muligheter, hindringer og potensielle løsninger. Med sin unike innsikt i løsninger og teknologi, kan TCS lede en diskusjon rundt dette temaet og hva dette betyr for virksomheter og befolkningen.   

Rundbordssamtalen vil engasjere forkjempere av datadeling, forsvarere av personvern og datasikkerhet, fra offentlig og privat sektor, med lærepunkter fra forskjellige industrier, når det gjelder avansert datadeling. Dette gleder jeg meg til å diskutere.

Tid: 18. august kl 10-11. | Sted: Madam Reiersen | Arrangør: Tata Consultancy Service  

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16151

Onsdag 18. august: Personvern for barn og unge – hvordan sikrer vi at barna blir hørt?

Arbeidet med å bedre barns personvern har over lang tid vært rettet mot skolesektoren, og det har vært sett på hvordan skolens digitale verktøy for opplæring og kommunikasjon må sikre elevenes personopplysninger.

Tiden er inne for å rette blikket mot de unge selv også. Hvilke verktøy har barn og unge for å få hjelp til å ta gode valg for seg selv? Hva gjør samfunnet for å sikre at barna faktisk blir hørt og de settes i stand til å ivareta sitt eget personvern? 

Barneombud i Barneombudet, Inga Bejer Engh, influenser og samfunnsdebattant Kristin Gjelsvik, og undertegnede tar debatten. Sara Eline Grønvold er moderator. 

Tid: 18. august kl. 15.00 – 16.00 | Sted: Arendal bibliotek | Arrangør: Datatilsynet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15322

Torsdag 19. august: Raskere og mer treffsikker kreftbehandling – hvordan bruke kunstig intelligens til pasientens beste?

Personvern og helse er et svært sentralt tema. Kanskje er det i denne sektoren persondata kan gjøre mest samfunnsnytte? Samtidig er det ingen sektor som har flere registre og mer sensitive data om oss. Det evige spørsmålet er: Hvordan skal vi balansere disse interessene?

Arrangøren beskrives debatten slik: Krav til pasientforløp og ventetid legger stadig større press på spesialisthelsetjenesten. Behovet for raskere diagnostisering og gode verktøy for å avhjelpe kapasitets- og kvalitetsproblemer øker. Å ta i bruk teknologi som baserer seg på KI avhenger av at det etableres gode og forutsigbare rammebetingelser. Dette vil være særlig viktig innen kreftområdet.

I debatten deltar politikere, helsepersonell, beslutningstagere, forskere og jeg, for å diskutere hvordan kunstig intelligens kan bli en større del av løsningen på noen av helsetjenestens utfordringer fremover. Men, hva må eventuelt endres?

Tid: 19. august kl. 11.00 – 12.00 | Sted: Rederikontoret | Arrangør: Siemens Healthineers

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15873

Torsdag 19. august: Blir vi best? Eller kommer vi i bakleksa? Debatt om kunstig intelligens, innovasjon og personvern

Jeg tror fullt og fast på at personvern og innovasjon kan gå hånd i hånd. Nettopp derfor har vi etablert regulatorisk sandkasse for kunstig intelligens, som så langt har vært en stor suksess.

Samtidig ser vi spenninger internasjonalt. Europa tar lederrollen som den ansvarlige på KI-fronten. Og Norge vil være best av de beste. Men hvordan blir hårete mål og strenge personvernregler fulgt opp når gründere vil gjøre geniale idéer til teknologiske tilskudd på et galopperende KI-marked? Graver vi vår egen KI-grav, eller vil de andre følge i våre fotspor? Hvordan er det for innovatørene i kampen mot globale konkurrenter med langt slappere krav? Regulerer vi oss inn i bakleksa? Eller er det vi som vinner til slutt?

Datatilsynet og DigitalNorway inviterer til diskusjon, som vil gå over to paneler. Til arrangementet kommer blant annet Erlend Andreas Gjære (Secure Practice), Anders Bryhni (Sintef), Ingeborg Frøysnes (IKT-Norge), Kjetil Thorvik Brun (Abelia) og Liv Dingsør (DigitalNorway). Kollega Kari Laumann og jeg deltar fra Datatilsynet.  

Tid: 19. august kl. 12.30 – 14.00 | Sted: Thon Hotel Arendal | Arrangør: Datatilsynet og DigitalNorway

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15317