I prosessen med å bli verdens mest digitaliserte land risikerer vi å få verdens mest overvåkede innbyggere.

I den norske debatten om personvern vises det gjerne til USA eller Kina når det er behov for eksempler på ukontrollert og inngripende overvåking. Nå holder det å se til våre naboland  for å finne disse eksemplene.

Hva skjer når du digitaliserer en velferdsstat og åpner døren på gløtt for de statlige etterretningstjenestene?

Svensken og dansken

Mye av grunnen til at velferdsstater som Norge, Sverige og Danmark fungerer godt, er at de har tilgang til store mengder digitaliserte data. Norge har mange statlige registre blant annet knyttet til helse, utdanning, arbeid, inntekt, velferdsytelser, straff, skatt og eiendom. Dette gjør det lettere å levere gode tjenester til innbyggerne. Men det har også en risiko. I en gjennomdigitalisert stat ligger potensialet for masseovervåking.

I Danmark pågår det nå en omfattende diskusjon om et nytt lovforslag. Forslaget gir etterretningstjenesten PET lov til å lage en analyseplattform der de kan samle data fra offentlige registre. Det kan for eksempel være informasjon om sykehusbesøk, kontakt med psykiatrien og sosialtjenester. De skal også kunne hente inn data fra sosiale medier – som hva folk skriver, liker og deler – og følge med på hvordan folk beveger seg på internett og i virkeligheten.

Ved hjelp av kunstig intelligens skal PET finne mønstre og peke på mistenkelig atferd. Mange er bekymret for at dette gjør at alle blir behandlet som potensielle mistenkte. Det kan føre til frykt for å ytre seg, og påvirke folks forhold og tilgang til velferdstjenester. Koplingen mellom registre, kunstig intelligens og overvåking er noe Danmark også tidligere har blitt kritisert for, blant annet i en rapport fra Amnesty.

I Sverige er det også snakk om mer overvåkning. Der ønsker myndighetene å gi sikkerhetstjenestene økt mulighet til å overvåke internettrafikk og pålegge meldingsapper å opprette en bakdør for å oppheve kryptering. «Nasjonal sikkerhetslagring» innebærer omfattende innsamling av borgernes datatrafikk ved behov. Målet er å bekjempe digital kriminalitet, men innsamlingen vil omfatte vanlige, lovlydige borgere.

Det er fristende å bruke informasjon som allerede er samlet inn til nye formål. Vi ser denne tendensen også i Norge.

Nye holdninger til bruk og deling av data setter personvernet under press i Norge

Fra fødsels- til dødsmelding, registreres norske borgere i utallige registre og vårt livsløp dokumenteres fra fosterstadiet på helsestasjonen, videre i barnehagen, skolen, helsetjenesten, arbeidslivet og NAV. Vi gir fra oss informasjon til staten som nødvendig ledd i å motta diverse tjenester og velferdsgoder. Opprinnelig har informasjonen vært organisert som små «øyer» i offentlig sektor, og kun vært brukt til det formålet som den ble samlet inn for. Men endringer har skjedd. I vår digitaliseringsiver har vi tilpasset oss en ny måte å forholde oss til data på: den har ofte stor verdi utenfor det opprinnelige formålet. Alle offentlige data anses mer og mer som et statlig felleseie.

Lisa Reutter, som er ekspert på datadrevet offentlig sektor, satte ord på det optimistiske forholdet vårt til offentlige data i en episode av Datatilsynets podkast: «Vi holder data atskilt slik at opplysninger samlet inn i én kontekst ikke skal ha noe å si i en annen. Men ideen om data som en muliggjørende teknologi, bidrar til å flytte grensene for hva vi aksepterer og synes er greit».

Sammenstilling av data skaper uklarheter

På Altinget har det i den siste tiden pågått en debatt om de såkalte individdataregistrene. De forslåtte registrene skal samle mye informasjon om barn i skole og barnehage – som fravær, prøveresultater, spesialundervisning, språkopplæring, foreldrenes bakgrunn og økonomisk situasjon. Disse opplysningene skal igjen kobles med data om foreldre og barnets videre liv, som utdanning, jobb, inntekt og helse, samt foreldrenes livsløp. Forskningen på registrene skal benyttes som kunnskapsgrunnlag for å skape en bedre skole. Datatilsynet har advart mot at store og sammenkoblede registre innebærer en endret maktbalanse mellom myndighetene og enkeltindividet, noe som kan påvirke tilliten til statlige myndigheter negativt.

Forbudet vårt mot Statistisk sentralbyrå (SSB) sin planlagte innsamling av data fra den norske befolkningens dagligvarekjøp i 2023 var et eksempel på det samme. Ideen om å koble bongdata opp mot sosioøkonomiske data slik som husholdningstype, inntekt og utdanningsnivå, var noe vi mente var et uforholdsmessig inngrep i norske borgeres privatliv.

Dette kommer i tillegg til utvidelsene av justismyndighetenes overvåking av borgerne de siste årene, med blant annet lagring av IP-adresser, passasjeropplysninger, Etterretningstjenestens overvåking av internettrafikk og senest PSTs hjemler til å overvåke åpne kilder. Når store deler av kommunikasjonen og kunnskapsinnhentingen vår skjer på digitale plattformer, vil summen av data som samles inn av offentlige og private aktører medføre et stort overvåkingspotensial. Ekstra bekymringsfullt er det når etterretningstjenester kjøper metadata fra apper på det uregulerte markedet, og når Kripos vil bruke private slektsdatabaser i etterforskning.

Alt dette bidrar til å skape uklarhet som forsterker de negative effektene av overvåking og kan svekke personvernet ved at legges press på å utforme tjenester med svakere beskyttelse. Alt dette ble på dramatisk vis satt på spissen i debatten og snuoperasjonen knyttet til sivilbeskyttelsesloven. En situasjon hvor personvernlovgivningen settes til side kan få alvorlige konsekvenser for samfunnet. Det å innføre økte kontrolltiltak på for eksempel internett eller ansiktsgjenkjenning i det offentlige rom vil innebære en svekkelse av sivilsamfunnet. Kontrollmekanismer blir også satt under press i krisesituasjoner. Det er ingen tvil om at Datatilsynet opplevde det svært krevende å si nei til Smittestopp-appen under Covid.

Overvåkingspotensialet i en gjennomdigitalisert stat

At hvert enkelt tiltak kan aksepteres som et nødvendig inngrep i personvernet, kan isolert sett fremstå tilforlatelig. Advokatforeningen har i en kronikk påpekt dilemmaet under overskriften «Jeg vil svekke rettsstaten – gi meg en hjemmel!». Det at nye tiltak hjemles, begrenser ikke nødvendigvis skadevirkningene av selve inngrepet. Mulighetene og hjemlene for sammenkobling av ulike offentlige registre eller private datasett gjør uforutsigbarheten for den enkelte desto større.

Det er godt dokumentert at økt overvåkingstrykk påvirker vår ytre frihet, hvordan vi lever, kommuniserer og bruker tjenester. Enda mer bekymringsfullt er at den også truer vår indre frihet – mange begynner å føle seg overvåket hele tiden. Det er ikke uten grunn at den nye KI-forordningen forbyr bruk av kunstig intelligens som manipulerer folk til å gjøre ting de ellers ikke ville gjort.

Datatilsynet vil advare mot et samfunn hvor all offentlig informasjon og private data samles og gjøres tilgjengelig for nye formål og bruksområder. Et demokrati kjennetegnes ved at det er borgerne som kontrollerer staten, ikke motsatt. Norge, Sverige og Danmark ligger fortsatt på topp på internasjonale demokratiindekser, men vi kan ikke ta slike målinger for gitt. Det fremstår som et paradoks at suksessen til de skandinaviske velferdsstatene – å bruke store mengder data til å levere gode velferdstjenester – kan gjøre oss ekstra sårbare.

Det kan være fristende å se til våre naboland når vi utformer politikk som skal løse fremtidens utfordringer. Men uansett om målet er velferd, forskning eller sikkerhet, er det viktig at politikerne er bevisst det enorme overvåkingspotensialet som ligger i en heldigital og gjennomregistrert stat.

I DN 14. februar uttrykker PST frustrasjon over at ansatte i norske virksomheter i mindre grad er tilgjengelige for forebyggingssamtaler. Kan det være at PSTs metoder utfordrer rettsstaten på en slik måte at de gjør arbeidet med å sikre Norge vanskeligere?

Hva er forebyggingssamtaler?

PST gjør forebyggingssamtaler med personer som ikke har gjort noe straffbart. De bruker det som et konkret virkemiddel for å kartlegge og forebygge trusler. Forutsetningen for å gjennomføre en samtale er at PST har kartlagt enkeltpersoner eller miljøer som potensielt utgjør en trussel.

Dette er en form for over overvåkning, og nettopp uklarhetene rundt forebyggingssamtalene kan forsterke de negative effektene av overvåkning.

Rettsstatens prinsipper bygger tillit

Rettsstatsprinsipper er til for å verne borgerne. Som en heldig bieffekt gir de også en stat bygget på tillit. Utgangspunktet i en rettsstat er at myndighetene ikke har noe med privatlivet til borgerne eller opplysningene til virksomhetene å gjøre, uten at det er godt begrunnet. Gode grunner kan for eksempel være kriminalitetsbekjempelse, nasjonal sikkerhet eller andre viktige samfunnshensyn. Men det må også rammes inn av et solid lovverk.

Problemet med forebyggingssamtaler er at de beveger seg i rettsstatens yttergrense. De har et svakt og lite utviklet rettslig grunnlag. Både form og innhold kan disse politimetodene skape usikkerhet knyttet til overvåkning og bruk av makt.

Eksempler på problematisk metodebruk

Når det gjelder form, så kan både DNs artikkel 14. februar med personer i sikkerhetssensitive virksomheter, og PSTs «dawn raid» mot ungdom som er aktive i radikale grupper på nettet, tjene som eksempel metodebruk som kan forsterke negative konsekvenser.

PST oppsøkte en rekke barn hjemme tidlig om morgenen 13. juni i fjor, i en koordinert aksjon for å ta en prat om ytringer de hadde kommet med på nett. PST selv omtaler det som en « «skånsom håndsrekning». Det er enkelt å tenke seg mer skånsomme måter å gjennomføre en forebyggingssamtale på.

Uformelle møter svekker tilliten

I DNs artikkel leser vi om at enkeltpersoner kontaktes direkte og at samtalen kan gjennomføres på «kafé eller restaurant. Det kan være å gå en tur i en park, eller ta en biltur.» Men det er også påpekt at det ikke må virke for hemmelig.

Personer som er undergitt virksomhetenes taushetsplikt, skal altså dele informasjon med PST på et tynt rettslig grunnlag, gjerne på en kafé og uten noen form for notoritet. Hvem ville i den sikkerhetspolitiske situasjonen vi står i dra på kafé med en tilfeldig person for å snakke om sikkerheten i virksomheten?

Dette innlegget sto på trykk først i DN 7. mars 2025.

I innlegget forteller Jansen om systematiske og grusomme handlinger som norske romer har vært utsatt for opp gjennom historien.

Romminoriteten er en av de mest diskriminerte gruppene, og romer møter i dag mange utfordringer i samfunnet. Vi forstår godt at saken om politiets kartlegging har skapt sterke reaksjoner. Datatilsynet valgte derfor å opprette en tilsynssak for å undersøke om politiet hadde behandlet informasjonen i samsvar med personvernregelverket.

Lovgiver har gitt politiet vide rammer til å behandle personopplysninger om oss som innbyggere. Det er for å forebygge og bekjempe kriminalitet. Dette innebærer blant annet at politiet i noen tilfeller har lov til å behandle opplysninger om personer som ikke selv er mistenkt for å drive med kriminell virksomhet. I denne saken konkluderte vi med at politiets behandling av personopplysninger var innenfor lovens rammer. Det ligger imidlertid utenfor vårt ansvarsområde å ta stilling til hvordan politiet jobber opp mot ulike grupper og minoriteter i samfunnet.

I Datatilsynet jobber vi spesielt med beskyttelse av sårbare gruppers personvern, det er kjernen i vår virksomhet. Sensitive personopplysninger som etnisitet kan aldri i seg selv danne grunnlag for registrering hos politiet. Det er viktig for oss å understreke.

Alle enkeltpersoner som mener at politiet har behandlet personopplysninger om dem i strid med politiregisterloven, kan klage til Datatilsynet eller begjære at vi gjennomfører en kontroll på vegne av den registrerte. Hvis vi får klager eller begjæringer om dette, vil vi selvfølgelig behandle disse individuelt og foreta konkrete vurderinger i hver enkelt sak.

Denne bloggen er basert på en innledning som jeg holdt på seminaret Menneskerettslige perspektiver i den digitale tidsalderen – Institutt for offentlig rett (uio.no) den 2.  mars.

Det fremgår av PSTs trusselvurdering for 2023 at de nå anser ekstreme miljøvernaktivister som en mulig risiko i det norske samfunnet. PST sin trusselvurdering danner grunnlaget for det arbeidet som de, og mange andre virksomheter, gjør for å sikre samfunnet vårt og egne verdier. PST og etterretningstjenesten er gitt kraftige virkemidler og digitale verktøy som skal gjøre de i stand til å møte det trusselbildet de til enhver tid har identifisert.

Ett av disse virkemidlene finner vi i forslaget til ny etterretningslov, hvor en av bestemmelsene som ligger på bordet åpner opp for tilrettelagt innhenting – masseinnsamling av informasjon og data om norske borgeres bevegelser i det digitale rom.

Sett opp mot det faktum at så og si alt vi gjør i dag skjer nettopp i det digitale rommet , og det faktum at trusselbildet er i stadig endring,  så er det grunn til å rope et varsko for personvernet.

Det dynamiske risikobildet som ligger til grunn for metoder og valg som myndighetene gjør tilgjengelige for politi og etterretning, gjør det umulig for oss borgere å ha oversikt og kontroll over når man kan bli overvåket, og når man går klar. For eksempel: «I fjor var jeg en ganske ufarlig miljøverner – i år er jeg en trussel.»

Personvern og ytringsfrihet under press

Den grunnleggende retten til en privat sfære, fri for andres blikk, er under press når samfunnets behov for sikkerhet blir ivaretatt ved å ta i bruk kraftige digitale overvåkningsverktøy. Dette truer våre grunnleggende menneskerettigheter.

Den Europeiske Menneskerettighetsdomstolen formulerte det slik i saken Roman Zakharov v. Russia (2015):

«In view of the risk that a system of secret surevilance set up to protect national security may undermine or even destroy democracy under the cloak of defending it, the Court must be satisfied that there are adequate and effective guarantees against abuse…»

Men det er ikke bare personvernet som er under press i dette bildet. Personvern og ytringsfrihet henger uløselig sammen. Uten personvern, ingen reell ytringsfrihet.

Slik digital masseovervåkning som nå blir løftet frem som verktøy mot ulike trusler, vil også kunne ha en omfattende nedkjølende effekt på ytringer.

Frykten for andres blikk gjør at vi justerer oss inn og demper våre ytringer. Dersom det i tillegg er statens blikk vi er usikre på om når oss, gjør det noe fundamentalt med samfunnet vårt.

Kanskje blir et brennende innlegg på Aftenpostens Si;D fra en miljøengasjert 12-åring det første digitale sporet som blir samlet inn av PST om et ungt og engasjert menneske?

Jeg lar det spørsmålet stå.

Press fra kommersielle aktører

Presset på grunnleggende menneskerettigheter kommer imidlertid ikke bare fra stater og myndigheter i en utrolig tid. Et åpenbart press kommer også fra kommersielle aktører.

En enorm Pacman i form store kommersielle markedsaktører som Google, Meta og Tik Tok saumfarer digitale flater og labyrinter for alt av data som kan være av interesse. Og alt er tilsynelatende av interesse og har kommersiell verdi.

Noen av dere husker sikkert den lille ballen med den store munnen som slukte alt den kom over på sin vei i sin digitale labyrint. Spillet var nærmest hypnotisk, husker jeg, og det var umulig å legge fra seg.

Slik er også tjenestene og produktene disse kommersielle aktørene sender ut i samfunnet – oppslukende og umulig å legge fra seg. Og vi legger igjen digitale spor fra første skudd – og vi er hekta. Jo lenger vi er på, jo mer data samles inn om oss.

På begynnelsen av 2010-tallet ble sosiale plattformer sett på som en nøytral fasilitator for utøvelse av rettigheter, både ytringsfriheten og informasjonsfriheten. Dette bildet har endret seg.  Det er ikke lenger mulig å se bort fra den enorme påvirkningen disse kommersielle plattformene har på politikk, samfunn og demokratiet.

Facebook og Tik Tok lever av å forutse, predikere og forme vår oppførsel og våre meninger. De gjør dette ved å samle inn enorme mengder data. Innsamlingen i seg selv legger press på personvernet, men også hvordan de bruker dataene er en trussel mot grunnleggende rettigheter som personvern, ytringsfrihet, meningsfrihet og informasjonsfrihet.

Når menneskerettighetene debatteres, må vi derfor ta inn over oss og ta med i vurderingene hvilken makt disse selskapene har. Vi har også endt opp med å mer eller mindre bevisst og stilltiende akseptere og tillate at disse store, kommersielle aktørene samler inn enorme mengder med data for kommersielle formål.

Og det er ikke bare den markedsføringsmessige interessen som ligger til grunn for denne omfattende innsamlingen av data.

Akkurat som Pacman så lever kunstig intelligens (KI) av data. Alle disse store aktørene utvikler og tar i bruk KI. Med det datagrunnlaget de har, som de færreste nasjoner eller andre aktører er i nærheten av å ha, så vil de bli – eller forbli – svært mektige premissgiverne for samfunnsutviklingen fremover.

Informasjonsfrihet og meningsfrihet under press

Pacmans innsamling og bruk av data setter jo åpenbart personvernet under press, men også informasjonsfriheten og meningsfriheten. For hvor frie er vi i meningsdannelsen og utviklingen vår, hvis vi risikerer å få presentert falske nyheter eller fakta som er tilpasset oss basert på algoritmer som er utviklet av Kina?

En ungdom jeg kjenner begynte å stille spørsmål ved om jødeforfølgelsen og Holocaust virkelig hadde skjedd. Vedkommende satt ved middagsbordet og stilte spørsmål ved vår tids største forbrytelse. Hen hadde sett på Tik Tok at det var mange som mente jødeforfølgelsen var oppspinn og at jødene skulle ta over verden. Hen hadde altså falt ned i et kanin-hull på Tik Tok. Et algoritmehull.  Dette er en ressurssterk 14-åring og hen har handlekraftige foreldre. Hen hadde sikkert kommet opp av det hullet uten hjelp også, men hen fikk klar og tydelig beskjed fra sine foresatte og mistet Tik Tok på mobilen før middagen var omme.  

Men ikke alle kommer opp av algoritme-hullet.

Hvordan sikrer vi at dagens barn og unge – fremtidens digitale borgere, de som skal forsvare og forvalte demokratiet vårt – kan utvikle seg og danne seg egne, frie meninger i en forsvarlig ramme, når Tik Tok og andre markedskrefter er premissleverandør?

Jeg lar også det spørsmålet stå åpent.

Vi må sikre kollektive mekanismer

Digital teknologi eksisterer ikke i et vakuum. Teknologien kan være et kraftig verktøy for menneskelig fremgang og bidra til å fremme og beskytte menneskerettighetene. Teknologien har gjort kommunikasjon og deling av informasjon enklere, og gjennom det styrket ytringsfriheten og muligheten til demokratisk deltagelse.

Men dataintensive teknologier bidrar altså samtidig til å skape et samfunn der både stater og kommersielle private aktører i økende grad er i stand til å spore, overvåke, analysere, forutsi og manipulere folks oppførsel på en måte vi ikke tidligere har sett.

Denne siden ved den teknologiske utviklingen medfører betydelig risiko for menneskeverd, autonomi og personvern og utøvelsen av menneskerettighetene generelt, hvis den får foregå uten relevante og adekvate motstemmer og sikkerhetstiltak. Vi må sikre kollektive beskyttelsesmekanismer. Lover, regler og krav til digitalisering og bruk av data og KI må på plass.

Hvis vi ikke klarer å sikre slike kollektive mekanismer nå, vil det være mye vanskeligere å få det på plass senere. Vi må sikre det kollektive gode i systemene vi nå åpner for og utvikler, før det er for sent.  

Teknologien er i seg selv nøytral, og utviklet og brukt riktig kan den gi store samfunnsmessige gevinster. Men uten en åpen, offentlig samtale, bevisste politikere og beslutningstakere og hensiktsmessig regulering og nødvendige kontrollmekanismer, for å sikre nettopp det kollektive gode, kan dette også bære galt av sted. 

Vi ser stadig at det legges en snever forståelse av retten til personvern til grunn i avveiningen mot forståelsen av for eksempel nasjonal sikkerhet, som på sin side defineres vidt. Menneskerettighetene er ikke mer robuste enn det vi som demokrati og samfunn gjør de til. Det er vi som må beskytte, verne og sikre rettighetene. Myndighetene må derfor ta konkrete grep for å adressere utfordringene som ligger i digitalisering, slik at vi bekrefter og sikrer menneskerettighetene.

Dersom myndigheter og politikere lar digitaliseringsbehovet og -utviklingen gå på bekostning av for eksempel personvernet, slik Personvernkommisjonen peker på at skjer, vil dette helt klart svekke både relevans og vekt av våre grunnleggende menneskerettigheter.

Det må vi ikke la skje.

Vi må stille krav til myndighetene, politikere og lovgivere om å ta hensyn til grunnleggende menneskerettigheter i digitaliseringen av det norske samfunnet. Ethvert digitaliseringsinitiativ må vurderes opp mot effekten det kan ha på personvernet, ytringsfriheten, retten til fri meningsdannelse og informasjonsfriheten.

I det store bildet så handler det om hvilket samfunn vi vil ha.

Masseinnsamling av personopplysninger og myndighetsovervåking av hensyn til nasjonal sikkerhet er blitt kraftig utvidet gjennom flere lovendringer. Det vil påvirke den enkeltes frihet og kan svekke vårt demokratiske samfunn.

Datatilsynet mener det er på høy tid at alle nå må erkjenne konsekvensene av det samlede overvåkingstrykket og utrede metodebruken i justissektoren.

Fem store systemer med kapasitet til å kartlegge alt fra flyreiser til internettbruk er vedtatt eller foreslått.

Etterretningstjenesten skal operere to systemer, omtalt som bulkinnhenting og tilrettelagt innhenting. Ved bulkinnhenting samles det inn store mengder rådata fra ulike kilder som det så kan søkes i uten forhåndskontroll. Tilrettelagt innhenting innebærer søk i metadata og innholdsdata fra norske internettkabler, og i motsetning til for bulkinnhentingen, er det lagt opp til domstolskontroll for deler av søkene. Systemene skal i utgangspunktet ikke fange opp norske borgeres kommunikasjon, men i realiteten vil det omfatte nesten alle aktiviteter på internett.

Politiet har allerede fått hjemler for to systemer, ett for overvåking av flypassasjerer og ett for innhenting av IP-adresser. Ingen av dem er underlagt uavhengig forhåndskontroll. Opplysninger om alles reisemønstre, reisefølge, betalingsmetoder og en rekke andre kategorier skal danne grunnlag for søk etter personer som ikke nødvendigvis politiet er kjent med fra før. Når innsamling av IP-adresser er i gang, vil politiet få mulighet til å få oversikt over alle koblinger fra den enkeltes pc, mobil eller ulike apper til nettet. Dette kan brukes til å kartlegge både internettbruk og bevegelser.

Ny teknologi i form av kunstig intelligens og maskinlæring gjør at overvåkingskapasiteten øker kraftig.

Hvis lovforslaget som er til behandling i Stortinget får flertall, skal PST uten forhåndskontroll kunne innhente nærmest ubegrenset informasjon om den enkelte som er tilgjengelig på internett. Kilder som kan sammenstilles kan være Facebook-grupper og andre sosiale medier, kommentarfelt og ulike nettgrupper for meningsutveksling.

Dette innebærer en omfattende overvåking av norske borgeres liv.

Felles for alle forslagene er at sentrale høringsinstanser som Datatilsynet, NIM, Advokatforeningen og Tekna mener at systemene ikke er i tråd med praksis fra EMD og EU-domstolen. Kritikken går i hovedsak på fraværende målretting og manglende uavhengig forhåndskontroll.

Ny teknologi i form av kunstig intelligens og maskinlæring gjør at overvåkingskapasiteten øker kraftig. Søketeknikker gjør det mulig å hente ut opplysninger om den enkelte som ikke er mulig uten å sammenstille store mengder data. Overvåkingspotensialet oppstår allerede ved innsamlingen, det kan påvirke i hvilken grad vi våger å bruke internett til å hente kunnskap og utveksle meninger.

For å ivareta tilliten til myndighetene og begrense de negative følgene av overvåking er det viktig med klare skranker i form av lovgivning og god kontroll. Datatilsynet arbeider for ansvarlig bruk at kunstig intelligens. Det gjøres et stort arbeid og stilles strenge krav til bruk av personopplysninger i utviklingen av KI-verktøy for offentlige og private virksomheter. Regelverket for å kontrollere utviklingen av kunstig intelligens i justis og forsvarssektoren er i dag lite utviklet. Selv helt sentrale bestemmelser som at algoritmer ikke skal diskriminere, mangler.

Personvernkommisjonen har sin utredning fra 2022 pekt på at åpenhet bidrar til å skape tillit. Mangel på informasjon og gjennomsiktighet om teknologibruk, kombinert med en stadig utvikling av kraftige datainnsamlings- og analyseverktøy for bruk i justissektoren, kan føre til svakere personvern og en nedkjølingseffekt hvor den enkelte velger å ikke ytre seg i frykt for overvåking.

I Datatilsynets personvernundersøkelse 2020 svarer 16 prosent at de har unnlatt å delta i en debatt i kommentarfelt eller på Facebook fordi de er usikre på om myndigheter slik som politiet, PST eller etterretningstjenesten, kan få tilgang til informasjonen. Dette er et oppsiktsvekkende høyt tall i et land hvor tilliten til offentlige myndigheter generelt sett er høy.

Dere finner all informasjon om saken og kan lese høringssvaret vårt til forslaget på datatilsynet.no

Dette innlegget ble først publisert i NRK Ytring 25.10.2022. Innlegget er skrevet av juridisk senirorådgiver Jan Henrik Mjønes Nielsen og direktør Line Coll i Datatilsynet.

På NRK Ytring har det vært en debatt mellom forsvarsminister Bjørn Arild Gram og Tekna. Det ble da spurt om det foreslåtte systemet for avdekking av digitale trusler, såkalt tilrettelagt innhenting, er å regne som digital masseovervåking.

Det klare svaret er ja.

Da Datatilsynet først vurderte forslaget i 2018, konkluderte vi med at det riktige begrepet var digital masseovervåking. Det er fordi det best forklarer hva systemet er og hvilke konsekvenser det har. Systemet vil utilsiktet fange opp store deler av norske borgeres internettkommunikasjon.

Etterretningstjenesten vil ende opp i dilemmaet om hva de skal gjøre med kunnskap om en trussel de ikke skal ha lov til å vite noe om.

Datatilsynet mener at loven må endres

Datatilsynets analyse baserer seg på grunnleggende samfunnsteorier om makt. Disse kan sammenfattes i det kjente utsagnet «kunnskap er makt». Et inngrep fra myndighetene i privatlivet resulterer i kunnskap, som igjen medfører en overføring av makt fra individet til staten.

Denne endringen i maktbalansen påvirker i hvilken grad vi våger å bruke internett til å hente kunnskap og utveksle meninger.

I Personvernundersøkelsen 2019/2020 svarte 13 prosent at de har unnlatt å søke på nett på grunn av usikkerhet knyttet til om myndighetene har tilgang til informasjonen.

Det er åpenbart at det norske systemet fraviker kravene fra menneskerettighetsdomstolen.

Det er derfor avgjørende å forstå at overvåkingspotensialet oppstår allerede ved innsamlingen, og at lagringen omfatter nesten alle norske borgere. Dette er digital masseovervåking. Systemet vil utilsiktet fange opp store deler av norske borgeres internettkommunikasjon.

Systemet fraviker kravene fra menneskerettsdomstolen

Menneskerettighetsdomstolen stiller et sentralt krav til hemmelige overvåkingssystemer: Nemlig at systemet skal være underlagt uavhengig forhåndskontroll i alle ledd. Før innsamling begynner, må grunnlaget vurderes av en uavhengig instans. Det er derfor åpenbart at det norske systemet fraviker kravene fra menneskerettighetsdomstolen.

Loven legger opp til at det skal gjøres en maskinell test og analyse av kommunikasjonsstrømmene for å finne relevant utenlandsetterretnings-informasjon før domstolen har godkjent søk.

Så hva betyr «maskinell test og analyse»? Det er grunn til å anta at Etterretningstjenesten i det minste vil bruke verktøy som er vanlig tilgjengelig – som søkemotorer, stordataanalyse og løsninger basert på maskinlæring og kunstig intelligens.

Ifølge EOS-utvalgets høringsuttalelse gjøres det en«etterretningsfaglig vurdering».

Mye av skaden er derfor allerede skjedd når domstolen skal ta stilling til ytterligere søk i et materiale som allerede er gjennomsøkt.

Det er liten grunn til å tro at domstolskontrollen blir reell, fordi den vil komme på et for sent tidspunkt. Datatilsynet mener derfor at loven må endres.

Stortinget må sikre at vi får de nødvendige mekanismene for rettssikkerhet, slik at loven ikke virker negativt inn på friheten vår og vårt demokratiske samfunn.

Det kan være vanskelig å navigere i de mange hundre arrangementene som går av stabelen, mange i parallell, derfor denne guiden til Arendalsuka. Det er viktig å velge riktig, og det å velge riktig i denne sammenhengen er selvsagt å stalke oss i Datatilsynet under uken i august. Men vær obs, denne bloggen kommer med en advarsel: Ting endrer seg fort, nye deltagere kan komme til, innretningen på debattene kan endres og nye kan komme til. Sjekk gjerne linkene under hver programpost for siste, oppdaterte informasjon.

Mandag 16. august: Digitalt demokrati: Smittefritt, men er det for alle?

Data påvirker og data flytter makt, data kan bidra til å avgjøre valg og stenge folk ute fra viktige plattformer. Men har åpenheten en pris, og er den for alle? Denne debatten er den første vi deltar i på årets Arendalsuke, og beskrives slik av arrangøren:

Digitaliseringen har vært avgjørende for å holde Norge i gang under koronapandemien, men med på lasset får vi Facebook-annonser, hacking og konspirasjoner. Pandemien gjør at husbesøk og folkemøter i valgkampen erstattes av innlegg på sosiale medier og samlinger på Teams. Bystyremøter strømmes på Facebook, og innbyggerne kan gi tilbakemeldinger i kommentarfeltet. Men klarer vi å nå alle på de nye arenaene?

Jeg deltar sammen med blant annet direktør Tore Tennøe i Teknologirådet.

Tid: 16.08, kl. 14.00-15.00 | Sted: Demokrativerkstedet i Arendal |Arrangør: Sopra Steria

Lenke til arrangement: https://arendalsuka.no/event/user-view/16611

Tirsdag 17. august: Personvernet slår tilbake

Personvernet er under stadig press, både fra kommersielle aktører og offentlige etater. Nå er tiden inne til å diskutere personvernets kår, og om vi nå endelig går inn i personvernets tidsalder. 

Bakgrunnen for denne diskusjonen er blant annet viktige avgjørelser mot de store teknologiselskapene, søksmål mot Facebook etter oppkjøpet av WhatsApp, viktige dommer fra EMD og EU-domstolen knyttet til overvåkning og Schrems-dommen, som har sendt personvern-sjokkbølger gjennom Europa og USA. I Norge har vi varslet et gebyr på 100 mill. til Grindr.

Arrangementets første panel består av Adele Matheson (NIM), Karsten Friis (NUPI) og undertegnede, og tar for seg den statlige overvåkingen i samfunnet. Det andre panelet tar for seg den kommersielle overvåkingen, og består av Ingrid Lise Blyverket (Forbrukerrådet), Vivi Rignes Wilhelmsen (Forsvarets Høyskole). Jeg deltar også i dette panelet. Moderator for arrangementet er Martin Gundersen i NRKBeta. 

Tid: 17. august kl. 8.00-9.00 | Sted: Samfunnsteltet – jubileumsscene | Arrangør: Datatilsynet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15452

Tirsdag 17. august: Digitalisering i skolen – har vi glemt personvernet?

Personvern i skolen har vært et viktig tema for Datatilsynet i mange år. Nå har Bouvet gjennomført en undersøkelse om personvernets kår i skolesektoren. De beskrives arrangementet slik:

Skolen har blitt kræsj-digitalisert under koronaen. Det svømmer over av nye digitale læringsverktøy og mange skoler har utvist en fantastisk kreativitet. Samtidig er Bouvet bekymret for personvernet til lærere og barn. Derfor har vi gjort en omfattende undersøkelse om status på personvern i skolen. På bakgrunn av undersøkelsen tar vi debatten om konsekvensene av kræsj-digitaliseringen av skolen.

• Er det på tide å dra i bremsen for å sikre at ikke personopplysninger om elever blir misbrukt, eller er det noen skoler som er for strenge i møte med nye apper og digitale tjenester? 
• Må lærerutdanning, skoleforvaltningen og metodefriheten i skolen endres som en konsekvens av digitaliseringen?

Blant deltagerne finner vi Simen Sommerfeldt, teknologidirektør i Bouvet, Tonje Brenna, Stortingsrepresentant fra Arbeiderpartiet og Steffen Handal, leder i Utdanningsforbundet. Jeg deltar fra Datatilsynet.

Tid: Tirsdag 17/8 2021 10:00 – 11:00 | Sted: Castelle | Arrangør: Bouvet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15713

Tirsdag 17. august: Maktkamp og samarbeid i kampen mot klimaendringene

Personopplysninger brukes i dag, litt forenklet, til alt. At vi mottar reklame basert på nettaktiviteten vår er gammelt nytt, men tema for denne diskusjonen bringer oss inn på et nytt felt: Hvordan bruke personopplysninger for å bekjempe klimaendringer? Arrangementet beskrives slik:

Hva kjennetegner de ledende selskapene i den grønne omstillingen? Hva er folkets fotavtrykk? Hva tenker forbrukerne om kommunikasjon og markedsføring av bærekraft? Hvordan ivareta personvern når vi spør om dine data for å ivareta miljøvern? Hvilken rolle og virkemidler har kommunene i å motivere innbyggerne til adferdsendring? 

Rolf Jarle Brøske og Jan-Frode Janson fra Sparebank1 SMN, Anne Kathrine Slungård fra Forbrukerrådet, Børge Brende, President i World Economic Forum, Gunelie Winum fra Ducky og flere holder innlegg for å svare på spørsmålene under arrangementet, der jeg deltar fra Datatilsynet

Tid: 17. august kl. 11.15 – 12.00 | Sted: Arendal kino | Arrangør: Sparebank1 SMN

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16693

Tirsdag 17. august: Kunstig intelligens på arbeidsplassen

Kunstig intelligens er på full fart inn i arbeidslivet. Ny teknologi kan gi både økt verdiskaping og nye arbeidsplasser. Samtidig ser vi eksempler på at kunstig intelligens har ført til diskriminering av minoriteter eller blir brukt til å overvåke de ansatte. Hvordan kan kunstig intelligens bli et gode for alle – og ikke oppleves som en trussel? Hvordan legger vi til rette for god utnyttelse av ny teknologi, samtidig som vi ivaretar sosiale konsekvenser? Hvordan kan de ansatte påvirke utviklingen, og hvordan vil EUs nye regulering av kunstig intelligens påvirke arbeidslivet?

Kari Laumann, prosjektleder for vår regulatoriske sandkasse for kunstig intelligens, deltar fra Datatilsynet.

Tid: 17. august kl. 18.00 – 19.00 | Sted: Clarion Hotel Tyriholmen | Arrangør: Negotia, Finansforbundet og NITO

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16206

Onsdag 18. august: Rundebordsamtale om datadeling

Data har stor verdi og data skal deles, bare så det er slått fast nok en gang. Men i en årrekke har vi diskutert hvordan vi skal dele data på lovlig vis, hvilke begrensninger som finnes og hvordan vi kan overkomme disse. Denne debatten beskrives slik:

Data er en ressurs som samfunnet må utnytte bedre. All offentlig oppgaveløsning og tjenesteutvikling innebærer bruk av data. Viderebruk av offentlig informasjon handler om å gi næringsliv, forskere og sivilsamfunn tilgang til åpne data fra offentlig sektor på en måte som gjør at de kan brukes i nye sammenhenger, skape nye tjenester og gi økt verdiskaping for sluttbrukeren. 

Det er mange gevinster å hente på å dele data bedre, særlig innenfor effektivitet, mulighetsrom og brukeropplevelse. Samtidig møter en raskt på utfordringer knyttet til personvern og datasikkerhet. Det er behov for mer kunnskap om hvordan infrastrukturen, både i statlig og kommunal sektor, kan tilrettelegges for deling av data. 

Tata Consultancy Services (TCS), som IT- og teknologiekspert, ønsker å organisere en rundbordssamtale  med aktører engasjert i dette temaet for å diskutere muligheter, hindringer og potensielle løsninger. Med sin unike innsikt i løsninger og teknologi, kan TCS lede en diskusjon rundt dette temaet og hva dette betyr for virksomheter og befolkningen.   

Rundbordssamtalen vil engasjere forkjempere av datadeling, forsvarere av personvern og datasikkerhet, fra offentlig og privat sektor, med lærepunkter fra forskjellige industrier, når det gjelder avansert datadeling. Dette gleder jeg meg til å diskutere.

Tid: 18. august kl 10-11. | Sted: Madam Reiersen | Arrangør: Tata Consultancy Service  

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16151

Onsdag 18. august: Personvern for barn og unge – hvordan sikrer vi at barna blir hørt?

Arbeidet med å bedre barns personvern har over lang tid vært rettet mot skolesektoren, og det har vært sett på hvordan skolens digitale verktøy for opplæring og kommunikasjon må sikre elevenes personopplysninger.

Tiden er inne for å rette blikket mot de unge selv også. Hvilke verktøy har barn og unge for å få hjelp til å ta gode valg for seg selv? Hva gjør samfunnet for å sikre at barna faktisk blir hørt og de settes i stand til å ivareta sitt eget personvern? 

Barneombud i Barneombudet, Inga Bejer Engh, influenser og samfunnsdebattant Kristin Gjelsvik, og undertegnede tar debatten. Sara Eline Grønvold er moderator. 

Tid: 18. august kl. 15.00 – 16.00 | Sted: Arendal bibliotek | Arrangør: Datatilsynet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15322

Torsdag 19. august: Raskere og mer treffsikker kreftbehandling – hvordan bruke kunstig intelligens til pasientens beste?

Personvern og helse er et svært sentralt tema. Kanskje er det i denne sektoren persondata kan gjøre mest samfunnsnytte? Samtidig er det ingen sektor som har flere registre og mer sensitive data om oss. Det evige spørsmålet er: Hvordan skal vi balansere disse interessene?

Arrangøren beskrives debatten slik: Krav til pasientforløp og ventetid legger stadig større press på spesialisthelsetjenesten. Behovet for raskere diagnostisering og gode verktøy for å avhjelpe kapasitets- og kvalitetsproblemer øker. Å ta i bruk teknologi som baserer seg på KI avhenger av at det etableres gode og forutsigbare rammebetingelser. Dette vil være særlig viktig innen kreftområdet.

I debatten deltar politikere, helsepersonell, beslutningstagere, forskere og jeg, for å diskutere hvordan kunstig intelligens kan bli en større del av løsningen på noen av helsetjenestens utfordringer fremover. Men, hva må eventuelt endres?

Tid: 19. august kl. 11.00 – 12.00 | Sted: Rederikontoret | Arrangør: Siemens Healthineers

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15873

Torsdag 19. august: Blir vi best? Eller kommer vi i bakleksa? Debatt om kunstig intelligens, innovasjon og personvern

Jeg tror fullt og fast på at personvern og innovasjon kan gå hånd i hånd. Nettopp derfor har vi etablert regulatorisk sandkasse for kunstig intelligens, som så langt har vært en stor suksess.

Samtidig ser vi spenninger internasjonalt. Europa tar lederrollen som den ansvarlige på KI-fronten. Og Norge vil være best av de beste. Men hvordan blir hårete mål og strenge personvernregler fulgt opp når gründere vil gjøre geniale idéer til teknologiske tilskudd på et galopperende KI-marked? Graver vi vår egen KI-grav, eller vil de andre følge i våre fotspor? Hvordan er det for innovatørene i kampen mot globale konkurrenter med langt slappere krav? Regulerer vi oss inn i bakleksa? Eller er det vi som vinner til slutt?

Datatilsynet og DigitalNorway inviterer til diskusjon, som vil gå over to paneler. Til arrangementet kommer blant annet Erlend Andreas Gjære (Secure Practice), Anders Bryhni (Sintef), Ingeborg Frøysnes (IKT-Norge), Kjetil Thorvik Brun (Abelia) og Liv Dingsør (DigitalNorway). Kollega Kari Laumann og jeg deltar fra Datatilsynet.  

Tid: 19. august kl. 12.30 – 14.00 | Sted: Thon Hotel Arendal | Arrangør: Datatilsynet og DigitalNorway

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15317

Borgerrettsorganisasjoner, blant annet i Sverige, har gått til sak for å få kjent lignende lover kjent ugyldig i Den Europeiske Menneskerettighetsdomstolen (EMD). Dersom staten Sverige felles, vil det bety store endringer i den norske loven. Faktisk kan den nye e-loven lide samme skjebne som datalagringsdirektivet i sin tid gjorde. Det ble vedtatt i Stortinget, formelt som en del av lov om elektronisk kommunikasjon. Men loven trådte aldri i kraft fordi EU-domstolen kom til at direktivet var i strid med EUs Charter for Grunnleggende Rettigheter, som er et speil av Den Europeiske Menneskerettighetskonvensjonens artikkel 8 og vår egen Grunnlov § 102. Dette er juss på sitt aller vakreste, og lyder slik:  

Alle har rett til respekt for privatlivet og familielivet sitt, for heimen sin og kommunikasjonen sin. Det må ikkje utførast husransakingar, så nær som i kriminelle tilfelle. Dei statlege styresmaktene skal sikre eit vern om den personlege integriteten.

Hva er egentlig vedtatt?

Det andre vi må vite er hva som egentlig er vedtatt. Lysne II–utvalget, som la grunnlaget for dagens lov, beskrev et overvåkningssystem som rent konseptuelt var mulig å forstå. Så kom utkastet til proposisjon, og det ble adskillig vanskeligere. Datatilsynet skrev en meget grundig høringsuttalelse der vi mente det var for stor uklarhet knyttet til forslaget til at regjeringen burde gå videre med det. Vi fremsatte imidlertid ikke mindre enn 29 konstruktive forslag til endringer, dersom forslaget mot vårt råd ble videreført. Når regjeringens endelige forslag kom på bordet i april, kunne vi konstatere at mye er forbedret, og flere av Datatilsynets (og andres) forslag er imøtekommet. Men etter å ha lest forslaget, og komiteens innstilling, står jeg fortsatt igjen med et stort spørsmål: Hva er det egentlig som er vedtatt?

Dette er et kjernespørsmål ved enhver vedtatt lov, men særlig viktig når det gjelder e-loven. Den skal i stor grad praktiseres i hemmelighet. Det må vi selvsagt akseptere, men det er påtrengende viktig at vi for eksempel vet hva slags data som kan samles inn. Leser vi lovforslaget, er ikke det mulig å forstå. Leser vi forarbeidene, eller komiteinnstillingen, er spørsmåltegnet like stort.

Lagring av informasjon om alle norske borgere

Det er utvilsomt at det vil bli lagret informasjon om alle norske borgere. En lang rekke aktører vil bli pålagt å tilrettelegge data for e-tjenesten, altså «speile og gjøre tilgjengelig utvalgte kommunikasjonsstrømmer». Dette betyr (veldig forenklet) at et selskap som for eksempel Telenor må sørge for at grensekryssende SMS- og MMS-tjenester som går i Telenors nett, kopieres og legges inn i metadatalagret, for e-tjenestens senere bruk. Men ingen har gitt noe godt svar på hvor langt denne plikten rekker. Er for eksempel Finn.no, med godt over to millioner unike brukere i uken, omfattet, i og med at de har en meldingstjeneste? DnB, Norges største bank, har en meldingstjeneste. TUI, en av Norges største charteroperatører, har en chattetjeneste. Og den vi chatter med trenger ikke sitte i Norge, men i Tyskland, eller kanskje i India. Kan sjefen for etterretningstjenesten, som er gitt denne fullmakten, pålegge disse aktørene å «tilgjengeliggjøre utvalgte kommunikasjonsstrømmer» for e-tjenesten?

Det er heller ikke klargjort hva det betyr at såkalte internettbaserte OTT-tjenester er omfattet av tilretteleggingsplikten. I proposisjonen er det ikke engang forsøkt å beskrive hva dette er. Dette er tilslørende, særlig fordi OTT-tjenester er noe vi alle sammen bruker mange ganger hver eneste dag. Her er noen eksempler: Netflix, Skype, Messenger, WhatsApp, Playstation 4 og Zoom, som Stortinget selv brukte under høringen. Dette burde vært uttrykt i klartekst.

Loven kan i realiteten ikke kontrolleres

Som nevnt er kontrollmekanismene forbedret, og det er selvsagt positivt. Men med den usikkerheten som hefter med omfanget av innhentingen, er det fare for at det nå er vedtatt en lov som i realiteten ikke kan kontrolleres. Kontroll fordrer klarhet og forutsigbarhet, og der er det store mangler ved det som er vedtatt.

Flere høringsinstanser, blant annet Datatilsynet, tok til orde for at loven bør evalueres. Det er veldig bra at Stortinget sluttet seg til dette. Vedtaket lyder:

Evalueringen skal være offentlig og foreligge senest fire år etter at loven er satt i kraft. Evalueringen skal gjelde lovens virke og mulighet for kontroll av dens bestemmelser, inkludert ressurssituasjonen, kompetanse og virkemidler hos EOS-utvalget og domstolene.

Nedkjølingseffekt

Men hva med konsekvensene for den enkelte borgers personvern? Og hva med nedkjølingseffekten, altså om innføring av masseovervåkning vil føre til at borgerne generelt og grupper i befolkningen spesielt, vil legge bånd på sin kommunikasjon? Datatilsynet gjennomførte nylig en spørreundersøkelse, der vi stilte dette spørsmålet:

«Har du gjort noen av de følgende aktivitetene fordi du er usikker på om myndigheter som politiet, PST eller etterretningstjenesten kan få tilgang til informasjonen?«

Svarene viste at 16% hadde unnlat å delta i en debatt på Facebook, eller deltatt i kommentarfeltet i en nettavis.

Vi lever kanskje i verdens frieste land, med utstrakt ytringsfrihet, en flora av medier og fri meningsdannelse. I denne konteksten kan vi ikke slå oss til ro med at hver åttende innbygger har lagt bånd på seg selv. Det er grunn til å tro at prosentdelen er høyere i deler av befolkningen, for eksempel blant innvandrere, og grupper i samfunnets randsone. Eller for igjen å sitere Yassine, som var informant i en masteroppgave i kriminologi om nedkjølingseffekt. Hun uttrykker det slik:  

Jeg har tenkt over det sjæl, når jeg er på telefonen og prater om Islam, så tenker jeg «oi shit, det burde jeg kanskje ikke ha sagt … Tenk om noen hører det og tror jeg kanskje skal bombe noen» eller no ikke sant, det er helt sykt. Du blir jo paranoid.

Jeg er fortsatt bekymret for Yassine!

• Hva vil et digitalt grenseforsvar bety for personvernet? Hør Personvernpodden – Datatilsynets egen podcast.
• Les Datatilsynets siste høringsinnspill til Stortinget

Lovforslaget bygger i stor grad på det såkalte Lysne II-utvalgets utredning som Datatilsynet sa et klart nei til i 2017, se bloggen «Nei til digitalt grenseforsvar». Også Norges nasjonale institusjon for menneskerettigheter konkluderte med at forslaget trolig var grunnlovsstridig: Høringsuttalelse til Forsvarsdepartementet om Lysne II-utvalgets utredning «Digitalt grenseforsvar». 

Det er en meget grundig utredning som ligger til grunn for lovforslaget, og vi vil svare med den samme grundighet i vårt høringssvar som vil foreligger før høringsfristen går ut 12. februar 2019. Allerede nå er det imidlertid grunn til å påpeke følgende: I Jeløya-plattformen gikk regjeringen inn for å oppnevne en Personvernkommisjon som blant annet skal «se på personvernet i justissektoren». Det er svært gledelig at en slik kommisjon ser dagens lys, ettersom det aldri er foretatt en slik gjennomgang når det gjelder justissektoren. I vårt innspill til mandat understreket vi imidlertid at det vil være svært uheldig å gå videre med forslaget om digitalt grenseforsvar før personvernkommisjonen har sluttført sitt arbeid.

I vår høring understreket vi at det vil være svært uheldig å gå videre med forslaget om digitalt grenseforsvar før personvernkommisjonen har sluttført sitt arbeid.

Nå er det nettopp det som er i ferd med å skje. Forslag til digitalt grenseforsvar er sendt på høring, men Personvernkommisjonen er fortsatt ikke nedsatt. For at en slik kommisjon skal ha noe for seg, må den både gi en beskrivelse av nå-tilstanden for overvåkningen i Norge, og ta stilling til hva det betyr for den enkelte borgers personvern dersom digitalt grenseforsvar innføres. Sentrale spørsmål er blant annet om det vil medføre en nedkjølingseffekt blant vanlige folk og om vi vil se at opplysningen som samles inn brukes til nye formål. Det er også viktig at kommisjonen løfter blikket og legger grunnlaget for en debatt om hva slags samfunn vi ønsker, og hvor langt det er riktig å gå når det gjelder å begrense innbyggernes frihet. Dersom digitalt grenseforsvar vedtas før kommisjonen har sagt sitt til forslaget, blir en slik debatt uten særlig betydning.

Det er viktig at personvernkommisjonen løfter blikket og legger grunnlaget for en debatt om hva slags samfunn vi ønsker, og hvor langt det er riktig å gå når det gjelder å begrense innbyggernes frihet.

Forsvarsminister Frank Bakke-Jensen uttalte til NRK tidligere i dag at digitalt grenseforsvar vil føre til bedre personvern fordi det vil forhindre alvorlig kriminalitet. En slik uttalelse viser to ting; at forsvarsministeren ikke forstår hva personvern er, og at han setter en standard på debatten som bringer oss rett ned i skyttergravene for debatten om datalagringsdirektivet. Også der forsøkte tilhengerne å omdefinere hva som er godt personvern til å gjelde kriminalitetsbekjempelse. For det første er dette et argument uten en logisk grense, for det er uendelig mye som kan føre til mindre kriminalitet, for eksempel massiv overvåkning av befolkningen. Vet man hvor alle til enhver tid er og hva de holder på med vil det utvilsomt føre til mindre kriminalitet, men det vil undergrave folks personvern. Personvern handler om retten til selvbestemmelse, retten til å kommunisere mest mulig fritt og uhindret og retten til å ha private rom der man kan utfolde seg fritt uten å måtte kikke seg over skulderen, for å nevne noe. Det forsvarsministeren i realiteten sier, satt litt på spissen, er at det er godt personvern å tillate overvåkning av alle norske borgeres grensekryssende kommunikasjon, og å lagre det i 18 måneder. Det er et veldig dårlig utgangspunkt for en god debatt.

Av Rozemarijn van der Hilst-Ytreland og Stian Kringlebotn

Vår digitale infrastruktur gir et nærmest ubegrenset overvåkingspotensial. Hvordan skal staten få utnytte dette potensialet? For et år siden la Lyse II-utvalget frem sin rapport som vurderer om Etterretningstjenesten bør få tilgang til tele- og datasignaler som krysser våre landegrenser. Utvalget kom da med et forslag til et digitalt grenseforsvar. Forslaget har både fått støtte og sterk kritikk, og det er åpenbart at ulike aktører mener at mye står på spill.

Fullt hus og stor interesse
Sammen med Nasjonal institusjon for menneskerettigheter (NIM) inviterte Datatilsynet mandag 25. september til et kveldsseminar på Litteraturhuset for å diskutere forslaget til digitalt grenseforsvar. Seminaret ble raskt fullbooket, og kjelleren i Litteraturhuset var fylt til randen. Det var tydelig at dette var av stor interesse for mange. De som ikke fikk plass, kunne følge seminaret via livestrømming på nettet.

Varog Kervarec, journalist i Inside Telecom, åpnet kvelden med en introduksjon av digitalt grenseforsvar, en gjennomgang av utvalgets forslag og hva det har med folk flest å gjøre. På tross av høy kunnskap blant publikum, ble denne «DGF for dummies» mottatt med stor takk av de fleste, siden de tekniske løsningene i forslaget er ganske kompliserte.

Siri Strand, forsker ved Institutt for forsvarsstudier, ga deretter en presentasjon om fordelene med «bulk-innsamling» basert på erfaringer fra andre land som har innført DGF-lignende løsninger. Det viser seg at løsningen som utvalget legger opp til i stadig større grad er relevant i arbeidet for å motvirke cyberangrep, og i mindre og mindre grad er relevant for terrorbekjempelse.

Strands presentasjon ble etterfulgt av et innlegg av Datatilsynets direktør Bjørn Erik Thon som forklarte personvernulempene et digitalt grenseforsvar vil medføre. Blant annet nevnte han at den enorme datamengden og antall berørte personer gjør at DGF ikke er målrettet nok, og at et slikt tiltak derfor er grunnlovsstridig og bryter med menneskerettigheter. I tillegg mente han at et slik tiltak vil kunne medføre en «nedkjølingseffekt» som er skadelig for vårt demokratiske samfunn.

Paneldebatt med sterke motsetninger
Etter en kort pause var det tid for en paneldebatt med Hans Christian Pretorius, avdelingsdirektør IKT-sikkerhet i Nasjonal sikkerhetsmyndighet, Lise Lyngsnes Randeberg, president i Tekna, Anders Romarheim, førsteamanuensis ved Institutt for forsvarsstudier og Bjørn Erik Thon. Debatten ble ledet av Anine Kierulf fra Nasjonal institusjon for menneskerettigheter.

Hovedargumentene til Pretorius var at dagens trusselbilde er så pass komplekst at de fleste virksomheter ikke er i stand til å beskytte seg selv mot cyberangrep. Økt innsats mot slike angrep er derfor nødvendig. Romarheim tilføyde at et DGF-system i tillegg gir strategiske fordeler og er viktig for å ikke svekke Norges posisjon i NATO. Han varslet at dersom E-tjenesten ikke får tilgang til å bekjempe cyberangrep betyr det «at vi står på perrongen mens cybertoget går».

Randeberg var mindre optimistisk når det gjaldt DGFs nytteverdi og pekte på en rekke «teknologiske blindsoner» som Lysne II-rapporten ikke ser på. Hun nevnte blant annet den økende graden av kryptering som gjør at deler av DGF blir ubrukelig. I tillegg mente hun at Norge per i dag neppe har den nødvendige teknologiske kompetanse til å operere et slik system, noe Pretorius var uenig i.

Flere paneldeltakerne tok til ordet for at et DGF-systemet bør inneholde tekniske løsninger som gjør at personvernet blir best mulig ivaretatt, og Romarheim foreslo at lovgivning i tillegg bør inneholde et «sunset clause» som gjør at hele system bør revurderes (og muligens avvikles) etter et visst antall år. Thon mente derimot at det er usannsynlig at dette vil utgjøre noen forskjell i praksis. I og med at en innføring av DGF krever store investeringer, er det lite trolig at systemet blir stoppet etter bare et noen få år. Thon minnet også om at selv med gode, tekniske løsninger for bruk av innsamlede data, skjer inngrepet i personvernet allerede på innsamlingstidspunktet. Thon fikk bifall fra salen, hvor Ketil Lund (fra Lund-kommisjonen) i en spontant replikk ga uttrykk for sin frykt for økende overvåking og hva det gjør med samfunnet vårt.

God debatt om behov og ulemper
Som forventet førte debatten ikke til enighet om, og i så fall hvordan et digitalt grenseforsvar bør løses, men den har etter vårt syn bidratt til å belyse de ulike aktørens meninger om behov og ulemper med et digitalt grenseforsvar. En ting så det imidlertid ut til å være bred enighet om, nemlig at det er cybertrusler og ikke terror, som er det primære målet for, og verdien av et digitalt grenseforsvar.

Forsvarsdepartementet arbeider videre med utredningen av DGF. Debatten er ikke over.

For de som ønsker å se opptak av seminaret, er det tilgjengelig en periode på YouTube

Dere kan lese mer om Datatilsynets høringssvar til forslaget og finne lenker til relevant informasjon her