VG har lansert chatboten heiVG og det har allerede blitt oppdaget at den gir uriktige opplysninger om levende personer. Hvem har ansvaret når chatboten gjør feil?

Feilinformasjon er utvilsomt et samfunnsproblem. Ikke bare gir det folk feil fakta, men det kan også bidra til å svekke tilliten til redaktørstyrte medier hvis de formidler den type informasjon.

Redaktørstyrte medier er én av vår siste, og kanskje viktigste, skanser mot flommen av oppspinn. Hvordan blir det da når VG lanserer en upålitelig chatbot?

Under lanseringen uttalte VG at «Når vi ser tilbake på denne lanseringen om ett eller to år, tror jeg vi potensielt kan omtale den som startskuddet på noe helt nytt for måten journalistikk konsumeres og formidles på.»

En ny måte journalistikk konsumeres og formidles på? Da må det vel være underlagt redaktøransvaret og medieansvarsloven?

Ikke ifølge VG. På nettsiden opplyser de at «heiVG er en ikke-redaksjonell tjeneste og feil kan forekomme.»

Feil kan forekomme? Eksempelet som kom frem i media var uriktig omtale av om en person som hadde begått et lovbrudd. Datatilsynet behandler allerede i dag en klagesak på en annen tjeneste, der en person feilaktig ble beskyldt for å ha drept sine egne barn.

Har det noe å si? Ja. For hvis tjenesten er ikke-redaksjonell så er den underlagt personvernlovgivning hvor et av hovedprinsippene er at personopplysninger skal være korrekte. For selv uriktig informasjon om en person kan være personopplysninger.

En setning på nettsiden om at feil kan forekomme kan ikke unnta en hel tjeneste fra et lovverk som skal sikre den enkeltes beskyttelse. Faren er at vi slutter å bry oss om sannheten hvis vi stadig utsettes for løgn.

Så VG, hva blir det til? Redaktøransvar eller underlagt et regelverk som skal sikre korrekt informasjon?

Forslaget om et nasjonalt individregister for barn dreier seg ikke om små, tilforlatelige endringer av barnehageloven, opplæringsloven og privatskoleloven. Det handler om opprettelsen av store, inngripende individdataregistre som både utfordrer det grunnlovfestede vernet av barns personlige integritet og personvernet som demokratisk samfunnsverdi, skriver Camilla Nervik og Geir Røsvoll.

Regjeringen har nå lagt frem en lovproposisjon for å kunne registrere en mengde personopplysninger om alle barn og unge i Norge. Opplysningene skal kunne kobles med annen informasjon om barna og deres familier. Lovendringene gir dermed staten mulighet til å overvåke oss alle gjennom livet – fra vugge til grav.

Registreringen av personopplysningene vil skje uten at noen skal bes om samtykke, eller få mulighet til å reservere seg. At den enkelte ikke skal gis mulighet til selv å bestemme over egne personopplysninger, begrunnes med en risiko for at registrene da ikke vil oppfylle sin hensikt. Det anføres at den enkeltes valgfrihet vil medføre skjevrepresentasjon, og at dette særlig vil gå utover de sårbare barna som ofte er underrepresentert i forskning basert på utvalgsundersøkelser. Med dette som bakteppe hevder ulike statlige aktører, som Kunnskapsdepartementet, Barne- og familiedepartementet og Barneombudet, at opprettelsen av de foreslåtte individregistrene er helt nødvendige og til «barnets beste». 

Utdanningsforbundet og Datatilsynet mener at de foreslåtte registrenes påståtte nytteverdi mangler en overbevisende underbygning. Vi undres: Hvor ble det av vurderingene av barnas personvern? Er det ikke til barnets beste at deres lovfestede rett til vern om sin personlige integritet ivaretas?

«Barnets beste» er ikke et argument i seg selv

Det er ikke mer enn tre år siden personvernkommisjonen poengterte følgende:

«Hva som vil være til beste for det enkelte barn i en konkret situasjon, beror på en individuell og konkret vurdering.»

Det samme uttrykker FNs barnekomité i sin generelle kommentar til barnekonvensjonens artikkel 3 om barnets rett til at hans eller hennes beste skal være et grunnleggende hensyn.

Kunnskapen de foreslåtte individregistrene angivelig vil gi oss, rommer ikke den faktiske konteksten det enkelte barn inngår i. Den gir ikke svar på hvilke grunner barnet har for å gjøre som det gjør, eller hvorfor deres liv – både i og utenfor barnehagen og skolen – tar den retningen det tar. Å påstå at opprettelsen av individregistrene er til barnets beste, er med andre ord direkte misvisende.

Det holder altså ikke bare å påstå at registerdata er til barnets beste, ved å hevde at individregistrene «fremmer barns beste generelt» og vil «være til barns beste på et overordnet nivå», slik Kunnskapsdepartementet har gjort i sitt høringsnotat.

«Barnets beste» er ikke et argument i seg selv. 

Kunnskapsmangel er ikke problemet

Det er vanskelig å se hvordan inngrepene den enkelte må tåle, vil gi direkte verdi tilbake til den som «betaler kostnaden» i form av svekket personvern. Det hevdes at kunnskapsgrunnlaget fra individregistrene skal bidra til utviklingen av bedre skoler og barnehager, men det er uklart hva som egentlig skal endres og forbedres i praksis.

Forskning på registerdata frembringer gjennomsnittskunnskap om grupper av mennesker som deler noen bestemte kjennetegn. Denne typen kunnskap virker sikkert verdifull for den offentlige forvaltningen, men vi mener det er for enkelt å konkludere med at kunnskapen dermed er til barnets beste.

For lærerne i landets barnehager og skoler, er slik gjennomsnittskunnskap til liten nytte i møte med helt unike mennesker. Det er ikke primært individdatabasert kunnskap barnehagene og skolene mangler for å kunne ivareta barnets beste, men at kunnskapen vi allerede har om det som står i veien for å oppfylle barnas rettigheter, omsettes til handling.

Det reelle personverntapet må trumfe usikre gevinstforhåpninger

Et grunnleggende personvernprinsipp, slik det går frem av den europeiske menneskerettskonvensjonens artikkel 8, er at ethvert inngrep i personvernet skal avveies mot nytteverdien og formålet som begrunner inngrepet. 

Det er ingen tvil om, og heller ingen som synes å være uenig i, at opprettelsen av individregistrene innebærer et rent faktisk inngrep i personvernet. Hver ny personopplysning som registreres, og hver kobling som gjøres med andre opplysninger, øker dette inngrepet. Samtidig er det heller usikkert om omfattende registrering av barns personopplysninger fra barnehage og skole, og koblingen av disse opp mot en mengde andre opplysninger, vil føre til at barnehage- og skoletilbudet blir bedre for den enkelte.

De som ønsker at individregistrene opprettes, setter med andre ord et reelt personverninngrep opp mot antakelser og forhåpninger om at registrene vil være til barns beste. Vi mener det reelle tapet av personvern må vurderes nøye, og at eventuelle positive gevinster må presenteres som mer enn en generell ønsketenkning.

Nå må Stortingets politikere være seg sitt ansvar bevisst

Snart skal Stortinget behandle regjeringens lovforslag. For oss er det viktig å understreke at dette ikke dreier seg om små, tilforlatelige endringer av barnehageloven, opplæringsloven og privatskoleloven. Det handler om opprettelsen av store, inngripende individdataregistre som både utfordrer det grunnlovfestede vernet av barns personlige integritet og personvernet som demokratisk samfunnsverdi.

Dette må i stor grad forstås som et samvittighetsspørsmål, og Datatilsynet og Utdanningsforbundet ønsker å minne landets stortingspolitikere om deres individuelle ansvar for å vurdere det reelle personverninngrepet som følger av registrene, og ber dem stille seg følgende spørsmål:

Kan lovforslagene virkelig sies å være til barnets beste, når det ikke tas hensyn til barnas grunnleggende personvernrettigheter? 

I innlegget forteller Jansen om systematiske og grusomme handlinger som norske romer har vært utsatt for opp gjennom historien.

Romminoriteten er en av de mest diskriminerte gruppene, og romer møter i dag mange utfordringer i samfunnet. Vi forstår godt at saken om politiets kartlegging har skapt sterke reaksjoner. Datatilsynet valgte derfor å opprette en tilsynssak for å undersøke om politiet hadde behandlet informasjonen i samsvar med personvernregelverket.

Lovgiver har gitt politiet vide rammer til å behandle personopplysninger om oss som innbyggere. Det er for å forebygge og bekjempe kriminalitet. Dette innebærer blant annet at politiet i noen tilfeller har lov til å behandle opplysninger om personer som ikke selv er mistenkt for å drive med kriminell virksomhet. I denne saken konkluderte vi med at politiets behandling av personopplysninger var innenfor lovens rammer. Det ligger imidlertid utenfor vårt ansvarsområde å ta stilling til hvordan politiet jobber opp mot ulike grupper og minoriteter i samfunnet.

I Datatilsynet jobber vi spesielt med beskyttelse av sårbare gruppers personvern, det er kjernen i vår virksomhet. Sensitive personopplysninger som etnisitet kan aldri i seg selv danne grunnlag for registrering hos politiet. Det er viktig for oss å understreke.

Alle enkeltpersoner som mener at politiet har behandlet personopplysninger om dem i strid med politiregisterloven, kan klage til Datatilsynet eller begjære at vi gjennomfører en kontroll på vegne av den registrerte. Hvis vi får klager eller begjæringer om dette, vil vi selvfølgelig behandle disse individuelt og foreta konkrete vurderinger i hver enkelt sak.

Den 30. januar kom det danske datatilsynet med en oppsiktsvekkende avgjørelse om bruk av Google Chromebook og Workspace for education i skolen. Avgjørelsen konkluderer med at behandlingen av personopplysninger i enkelte deler av tjenestene er ulovlig, da det ikke finnes et rettslig grunnlag i personvernforordningen og nasjonal rett.

53 danske kommuner fikk derfor et påbud om å sørge for at alle personopplysningene som behandles i Google-tjenestene har et tilstrekkelig rettslig grunnlag.

Vedtaket tydeliggjør rammene for hva som er en lovlig bruk av personopplysninger i skolen, etter det danske lovverket. Avgjørelsen drøfter imidlertid problemstillinger som også har relevans for norske kommuners bruk av digitale læringsverktøy i skoleopplæringen. Vi mener at vurderingene av lovlighet, rettslig grunnlag og formålsbegrensning er gode. Dette kan vi bygge videre på i vårt arbeid i Norge. Som avgjørelsen understreker, etterlyser også vi i Norge en sterkere sentral styring av personvernarbeidet i skolesektoren. Viktige spørsmål om hvor omfattende innsamling av personopplysninger vi skal tillate i skolen, og til hvilke formål personopplysningene kan brukes til, må opp på den politiske agendaen.  

Digital omvelting i skolen

I Norge har det, som i Danmark, skjedd en digital omvelting av skoleundervisningen. På under ti år har nesten alle norske elever fått hver sin digitale enhet, og vi erfarer at stadig flere skoler velger å ta i bruk skyløsninger. Det er opp til hver enkelt kommune å sørge for at personvernregelverket blir ivaretatt ved innføring og bruk av digitale læreverktøy. Dette forutsetter blant annet at kommunen har kontroll på ansvarsforholdene mellom kommune og leverandør, hvilke personopplysninger som behandles i tjenestene, og at uvedkommende ikke får tilgang til personopplysningene. Dette er en krevende jobb. Kommunene blir ofte presentert for omfattende avtalevilkår, som forutsetter inngående kompetanse innenfor informasjonssikkerhet og personvern. I tillegg, er det vanskelig for hver enkelt kommune å stille krav til store markedsaktører som Google, Microsoft eller Apple. Vi mener at etableringen av en helhetlig og offensiv statlig personvernpolitikk i skolesektoren, som anbefalt i Personvernkommisjonens rapport, vil løse noen av disse utfordringene.

Bakgrunn for den danske Chromebook-saken

Allerede i 2022 nedla det danske datatilsynet et forbud mot bruk av Googles skoleverktøy i Helsingør kommune. Tilsynet mente at personvernregelverket ikke var fulgt på en rekke punkter, deriblant manglende risikovurderinger, utilstrekkelig dokumentasjon av dataflyten i tjenesten, og overføring av personopplysninger til tredjeland, uten et tilstrekkelig overføringsgrunnlag.

Disse vurderingene ble fulgt opp i et større tilsyn, som resulterte i et pålegg til 53 danske kommuner i januar.

Hva handler den danske Chromebook-avgjørelsen om?

Det danske datatilsynet gjennomførte en omfattende kartlegging av ansvarsfordelingen mellom Google og kommunene, og formålene personopplysningene behandles for i tjenestene.

Avgjørelsen konkluderer med at kommunene ikke har tilstrekkelig klar lovhjemmel i folkeskoleloven (tilsvarende norsk opplæringslov) for behandling av elevdata til Googles «egne formål». Dette henviser til Googles bruk av elevenes metadata til vedlikehold og forbedring av Googles generelle tjenester, utvikling av nye funksjoner i tjenestene og måling av yteevne. Avgjørelsen understreker at en slik behandling er et pågående lovbrudd, frem til det skjer en lovendring, eventuelt at Google stopper en slik behandling.

Hva skjer i Norge nå?

Vi har fulgt arbeidet til det danske datatilsynet tett, og mener at flere av vurderingene har overføringsverdi til Norge. Vi anser dette som en viktig avgjørelse, både fordi barn er gitt et særlig vern etter forordningen, og som følge av den omfattende innsamlingen av personopplysninger som skjer i skolen i dag. Det gjenstår likevel å vurdere om bruk av opplæringslova som hjemmelsgrunnlag kan føre til det samme resultatet som i Danmark.

Allerede i 2020 ga vi irettesettelser til tre kommuner for bruk av Google Chromebook. Begrunnelsen var at kommunene ikke hadde tilstrekkelig behandlingsprotokoll, foresatte hadde ikke fått god nok informasjon, og det var heller ikke gjennomført tilstrekkelige risikovurderinger. Et behov for mer veiledning til kommunene førte til opprettelsen av informasjonssiden «Bruk av Google Chromebook og G Suite for Education (og andre skytjenester) i grunnskolen» på Datatilsynets nettsider. Denne har til hensikt å bistå kommunene i etterlevelse av kravene til rettslig grunnlag, informasjon, behandlingsprotokoll og vurdering av personvernkonsekvenser (DPIA).

Etterlyser sterkere sentral styring

EUs forordning om digitale tjenester, Digital Service Act (DSA), er nå til vurdering i EØS/EFTA-landene, før den skal implementeres i norsk rett. DSA sikter mot mer åpne, gjennomsiktige og pålitelige digitale plattformer. Nasjonale tilsynsmyndigheter skal etter DSA ha krav på større innsyn i hvordan selskapene bak de internettbaserte plattformene opererer og hvordan de behandler data. Reguleringen vil også inneholde et forbud mot atferdsbasert markedsføring rettet mot barn. Dette mener vi er et skritt i riktig retning.

Det pågår dessuten et viktig samarbeidsprosjekt mellom regjeringen og KS i etablering av en nasjonal støttetjeneste for personvern og universell utforming. Dette skal være et verktøy som skal bistå barnehage- og skoleeiere i vurderingen av digitale læremidler. KS og Bergen kommune har også satt i gang et prosjekt for å gjennomføre og teste ut en nasjonal vurdering av personvernkonsekvenser (DPIA) for Googles tjenester i skolen. Disse verktøyene skal gjøre det lettere for kommunene å anskaffe digitale læremidler som oppfyller personvernregelverket.

Disse initiativene bidrar til en sterkere sentral styring av personvernarbeidet i skolen, som vil komme både kommunene og elevene til gode. Datatilsynet etterlyser samtidig en bred politisk debatt om personvernet i dagens skole. Det er til syvende og sist vi, som samfunn, som bestemmer hvilket omfang, og til hvilke formål, personopplysningene behandles.

Interessert i skole og personvern?

Kolleger har tidligere blogget om dette temaet, se for eksempel:

• En reklamefri skole uten sporing skulle vel bare mangle? (Line Coll, direktør i Datatilsynet)
• Nå er det tid for personvern i skolen (Line Coll, direktør i Datatilsynet)
• Personvern i skolen er under press (Janne Stang Dahl, kommunikasjonsdirektør i Datatilsynet)

EU finpusser verdens første kunstig intelligens(KI)-lov, og en lekket versjon begynte å sirkulere på nett denne uken. Hvilke utfordringer vil reglene løse, og hvilke gjenstår?

Førsteamanuensis og Aftenposten-spaltist Inga Strümke skriver med rette at vi trenger EUs KI-forordning for å regulere KI. Samtidig er vi ikke helt enige i at reglene rydder opp i paragrafjungelen.

Forordningen samler ikke KI-regler på ett sted, men kommer i tillegg til andre lover som regulerer KI, slik som GDPR (personvernforordningen). Det er også mange KI-systemer som ikke er omfattet av forordningen.

Strümke har også rett i at Norge må jobbe godt med å få reglene inn i norsk rett. Utfordringen er å innføre reglene på en måte som tar ned kompleksiteten for virksomheter og samtidig ivaretar verdiene i samfunnet.

Forbud og samspill

Forordningen inneholder flere forbud og vil tilrettelegge for KI som vi kan stole på, og som ivaretar menneskerettigheter og demokrati. For eksempel forbys manipulativ KI som forårsaker vesentlig skade.

Imidlertid forbys ikke KI som bare fører til medium skade. Det skaper uklarhet og rom for omgåelse. Spørsmålet er da hvor effektive reglene vil være. Dette er et av mange eksempler på at forordningen må suppleres, helst av klare nasjonale regler. I det minste av etikk og fornuft.

Reglene oppstiller også plikter for høyrisiko-KI. Eksempler er KI som brukes til rekruttering eller avgjørelser om trygdeytelser. Det stilles krav til risikovurdering, gode treningsdata, testing, dokumentasjon og involvering av mennesker. Algoritmene må være nøyaktige og sikre nok.

Mange av pliktene overlapper med GDPR. Det er derfor både viktig og ressursbesparende å se de to lovene i sammenheng, av hensyn til gode helhetsvurderinger og for å unngå dobbeltarbeid.

De fleste av de nye pliktene gjelder tilbyderne. Samtidig reguleres hele verdikjeden, også de som skal bruke KI, som får en huskeliste: Følg bruksanvisningen, husk opplæring, bruk representative data og meld avvik.

Generativ KI

Forordningen vil også regulere KI-modeller som kan brukes til ulike formål, som generativ KI.

Tilbyderne må dokumentere modellenes evner og begrensninger, tenke opphavsrett samt publisere oversikt over treningsdata. De mest kompliserte modellene må ha risikoreduserende tiltak.

Det blir EU-kommisjonen som skal håndheve akkurat disse reglene.

Tilsyn

Hva gjelder tilsyn med de øvrige reglene, peker forordningen i ulike retninger: til datatilsynene for justissektoren og til finanstilsynene for finanssektoren. Ut over det må hvert land velge sin(e) tilsynsmyndighet(er).

Spørsmålet nå er om vi ønsker å legge mest mulig ett sted, eller om vi ønsker en sektorvis og fragmentert tilnærming.

Tilsynsmyndighetene skal imidlertid ikke bare sanksjonere, men også støtte ansvarlig innovasjon gjennom regulatoriske sandkasser, slik Datatilsynet tilbyr.

KI-forordningen løser ikke alt. Det er smutthull, mange former for KI er ikke omfattet, vi må unngå dobbeltarbeid, og vi må lage et godt system for tilsyn.

Hvordan vi løser dette, vil avgjøre om Norge lykkes med KI.

Fremover vil flere trender og teknologier utfordre personvernet. Spesielt kunstig intelligens (KI) er for tiden i alles bevissthet og noe enhver snakker om – med eller uten personvernbriller. Men hvilke tanker gjør du deg om nevroteknologi innen helsesektoren og helseforskning, neste generasjon Internet of Things (IoT) eller desentralisert økonomi og digitale sentralbankpenger? Eller hva med tendensen til all altoppslukende og avhengighetsskapende teknologi mer generelt?

Hamstring av data — hva er nødvendig?

Det teknologiske landskapet flommer over av data, vi lagrer bilder og tekst både som enkeltmennesker og i virksomheter, i stat og kommune. Innen 2025 spås det at vi vil mangle mennesker med IT-ekspertise, og jeg tror folk flest ikke vil klare å henge med på den digitale utviklingen.

Fra år 2018 til 2025 vil det globale datavolumet øke med fem-gangeren, ifølge et estimat av EU-kommisjonen i forbindelse med sitt arbeid med EU Data Act. I 2018 lagret vi totalt 33 ZB. For å illustrere størrelsen: dersom du har et nettbrett som kan lagre 512 GB, så ville 33 ZB danne et tårn med slike nettbrett herfra til månen. Og i 2025 vil vi ha fem slike tårn. Mengden data øker med 1260 nettbrett pr sekund. I samme periode vil etterspørselen på IT-eksperter dobles, fra nesten 6 millioner i 2018, til 11 millioner i 2025. Det er neimen ikke sikkert at de digitale ferdighetene til folk flest ikke øke vil øke i takt med teknologiutviklingen.

Dette skjer samtidig med at europeere vil møte et stadig mer gjennomdigitalisert samfunn. EU-kommisjonens rapport Europe’s Digital Decade: digital targets for 2030 antar at alle nøkkeltjenester i EU vil være digitalisert innen 2030, at alle borgerne vil ha en digital ID og at samme borgere vil ha digital tilgang til helsejournalen sin.

Men akkurat hva, av alt vi lagrer av data, er virkelig nødvendig å lagre, både fra et personvernperspektiv og et bærekrafts- og miljøperspektiv? Dette er et viktig spørsmål som i hvert fall enhver som forvalter personopplysninger plikter å ta stilling til.

Dataøkonomi

Vekstpotensialet til dataøkonomien er stor, og data er grunnlaget for mange nye digitale produkter og tjenester. Bruken av tilkoblede objekter, IoT, genererer stadig mer data.

Tidligere nevnte Data Act, dataloven fra EU, vil gjøre data mer tilgjengelig for ulike aktører på tvers alle økonomiske sektorer i EU for «for a fair and innovative data economy». Men samtidig vil den sette opp regler om hvem som kan bruke data, hvilke data ulike aktører skal ha tilgang til og til hvilket formål de skal bruke dataen til. Loven har også en grenseflate mot personvernforordningen, og vil etter hvert også implementeres i Norge.

Når dine og mine data skal brukes og deles på en slik måte, er det helt klart at informasjonssikkerheten er avgjørende, og derfor har vi som enkeltindivider rettigheter og virksomheter plikter i personvernforordningen.

Hva vil kunne utfordre personvernet fremover?

Vi vil nok stå overfor flere teknologier som utfordrer oss fremover, og som vi sammen må finne løsninger på.

I den økende datamengden omtalt over, vil vi møte på utfordringer av typen mangel på kontroll og fravær av ansvarlighet. Neste generasjon IoT, som bidrar til økende innsamling av data, med storstilt sammenkobling og deling av data, er et eksempel på en teknologi som vil stå overfor slike utfordringer.

Bruk av kunstig intelligens vil utfordre lovligheten i behandlingen av personopplysninger ved trening og i produksjon, i tillegg til utfordringer knyttet til åpenhet, nøyaktighet og rettferdighet. Samtidig vil kunstig intelligens utfordre tilliten vi har til det digitale på bred front – tillit til tjenester, bilder, video, tekst og stemme. Hva er ekte, hva er sant? Samtidig vil kunstig intelligens kunne brukes for å indikere trusler og forbedre informasjonssikkerheten.

Nevroteknologi er teknologi som samler, analyserer og bruker informasjon som produseres og samles inn direkte fra hjernen og nervesystemet vårt (såkalt nevrodata). Teknologien kan brukes til å måle alt fra konsentrasjonsnivå på jobb til å utvikle smarte proteser som etterligner hjernemønstre for å gi raskere respons. Utfordringene med slik teknologi er potensielt mange, men eksempler er diskriminering, enkeltindividers mangel på forståelse av teknologi og terminologi, samt koordinering av felles regler og felles forståelse på et område som både er vitenskapelig, etisk og juridisk komplekst.

Såkalt oppslukende teknologi omfatter teknologi som skaper ulike former for sterke, intense opplevelser, men som potensielt også er avhengighetsskapende og besettende. Ett eksempel er VR-headsett, som gir oss virtuelle opplevelser. Slike enheter samler inn personopplysninger om øyebevegelser, pupillstørrelse, hjertefrekvens, stemme, håndbevegelser osv. Blant utfordringene vi møter på her er å vite hvem er den behandlingsansvarlige, hvorvidt de har lovhjemmel for behandlingen av data, åpenhet, deling og bruk av dataen til andre formål.

En annen ting vi ser er at de store teknologiselskapene vil enda mer på banen med egne betalingstjenester. De kan ha andre formål enn aktører vi er bedre kjent med i dagens og gårsdagens markedsøkonomi. Det foreslåtte tredje betalingstjenestedirektivet (PSD3) fra EU bygger på ideen om at tredjeparter ikke bare skal få tilgang til bankenes kjernesystemer, men også til sjiktet av tjenester bankene har bygget for sine nettbaserte grensesnitt, på toppen av kjernesystemene. Vi vet at de store teknologiselskapene har mye kapital, men også at de kan holde kortene tett til brystet når det gjelder åpenhet rundt bruk av innsamlet informasjon. Utfordringene på dette området kan for eksempel knyttes til lovlighet og åpenhet, eller til respekt for og samsvar med personvernforordningen mer generelt.

Digitale sentralbankpenger (DSP) er digitale kontanter, en type elektroniske penger utstedt i den offisielle pengeenheten som brukes i et land. DSP er videre smarte, digitale kontanter som kan programmeres. DSP vil potensielt kunne få ulike personvernkonsekvenser avhengig av hvilken modell som velges. Konkrete utfordringer kan være sporing, mangel anonymitet ved all type handel og manglende frihet for eksempel fordi andre personer eller aktører kan legge betingelser på penger som overføres til deg.

Et kjennetegn ved all ny teknologi er at det kan brukes med både gode og onde intensjoner. Sagt med andre ord: En teknologi kan både benyttes til å oppklare sikkerhetshendelser, men også til å skape sikkerhendelser. Trusselaktører, for eksempel kriminelle, benytter de samme teknologiene som de som forsøker å beskytte informasjon, og vil kunne bruke teknologien i digitale angrep for å oppnå ulik vinning. Personopplysninger er så å si alltid inngangsverdien til et digitalt angrep. Utfordringene her at den som forvalter våre personopplysninger, den behandlingsansvarlige, må sørge for tilstrekkelig sikkerhet, som innbefatter bevissthets- og sikkerhetsopplæring til sine ansatte.

Verdt en lytt?

Teknologi og personvern har også i høyeste grad en slagside til politikk. Innleggsforfatter Veronica deltok nylig i en podkast om nettopp dette temaet, titulert «Teknologi i personvernets tjeneste», som er del av Datatilsynets podkastserie som følger opp Personvernkommisjonens rapport. Se oversikt over alle våre podkaster på datatilsynet.no.

Denne teksten er utdrag fra et foredrag jeg holdt under Lovkonferansen i juni 2023.

Norge er et av verdens mest digitaliserte samfunn. Det er positivt og viktig for utviklingen av Norge. Digitalisering gjør oss for eksempel i stand til å løse samfunnsoppdrag innen helse og omsorg i en situasjon hvor varme hender vil være mangelvare.

Men digitalisering skjer ofte på bekostning av retten til en privatsfære og et personopplysningsvern.

Det slo også Personvernkommisjonen fast i sin rapport – hvor nettopp dette var ett av hovedfunnene. Omtrent 5 år etter GDPR trådte i kraft, har vi altså en utvikling hvor vi har et svekket personvern sammenlignet med tidligere tider som følge av digitaliseringen av samfunnet.

En gradvis svekkelse av personvernet

Byggesteinene i den datadrevne økonomien er i stor grad personopplysninger. Dagens digitale samfunn åpner opp for enorme muligheter, men også noen farer.

Personvernkommisjonen peker i sin rapport på at utvikling og innføring av ny teknologi skjer raskt og uten at vi alltid har full oversikt over konsekvensene. Kontroversiell og inngripende teknologi blir fort normalisert og allment akseptert. Dette medfører en gradvis svekkelse av personvernet. En slik svekkelse kan være vanskelig å få øye på før det er for sent å motvirke de negative effektene.

Hvorvidt vi makter å treffe den riktige balansen mellom mulighetene ved digitalisering og ulempene i form av tilsidesatte grunnleggende rettigheter og samfunnsverdier, vil bli avgjørende for hvilket samfunn vi skaper sammen.

En åpen, opplyst samtale og politisk fokus og effektive rettssikkerhetsmekanismer er grunnleggende for å motvirke den negative utviklingen med at personvernet settes til side.

Avveininger hele veien

Hvilke mekanismer har vi som samfunn til å ivareta personvernet og løpende finne den riktige avveiningen mellom digitalisering og innovasjon, utvikling, og ivaretagelse av våre grunnleggende rettigheter?

Her er det fristende å trekke frem flere mekanismer eller virkemidler:

• En åpen, opplyst samtale om denne avveiningen og denne utviklingen er ett virkemiddel
• Personvernpolitikk er et annet – dersom Stortinget fikk en rapport om personvernets stilling hvert år
• Et sterkt og tydelig tilsynsorgan er jo også et virkemiddel i seg selv
• Og til sist – dagens tema – selve lovgivningsprosessen vi har i Norge i dag.

Lovgivningsprosessen som demokratisk verdi

Lovgivningsprosessen starter på litt ulike måter, og ender opp med at departementet skriver forslaget til en lov.  Så blir dette forslaget sendt på høring.

Denne delen av lovgivningsprosessen har stor demokratisk verdi. Det er en grunnsten i vårt system at lovforslag og endringer skal høres i en demokratisk prosess.

Datatilsynet har imidlertid erfart at en slik høring ikke alltid er tilstrekkelig og eller gir de nødvendige rettssikkerhetsgarantiene som vi trenger.

Vi har for eksempel sett at lovforslag som hjemler store inngrep i borgernes personvern ofte ikke er utredet godt nok til at Stortinget blir kjent med konsekvensene av lovene de vedtar.

Uten en oversikt over personvernkonsekvensene av et lovforslag, er det svært vanskelig for Stortinget å sørge for at innbyggernes personvern er ivaretatt.

Stortinget settes som en følge av dette ikke i stand til å gjøre godt informerte verdivalg. Utfordringen kan deles opp i følgende punkter, som utdypes nedenfor:

• Mangelfull og nærmest fraværende forhåndsutredning av personvernkonsekvenser (som er pålagt etter GDPR artikkel 35 og 36)
• Høringsnotater kommer ofte sent, og inneholder mangelfull og krevende beskrivelse av hvordan lovforslag påvirker personvernet
• Mangelfull oppfølging av høringssvar
• Fullmaktslovgivning som en trussel mot personvernet i dagens samfunn

Mangelfull og nærmest fraværende forhåndsutredning av personvernkonsekvenser.

Etter personvernforordningen artikkel 36 nr. 4 skal medlemsstatene rådføre seg med tilsynsmyndigheten på personvernområdet ved utarbeidelse av forslag til lovgivning, eller et reguleringstiltak som er knyttet til behandling av personopplysninger. Sett i sammenheng med artikkel 36 for øvrig, vil rådføringen trolig kun være nødvendig i tilfeller hvor behandlingen medfører høy risiko for de registrertes rettigheter og friheter.

Det følger altså av personvernforordningen en særskilt rådføringsplikt når det er snakk om behandling av personopplysninger som innebærer høy risiko for rettigheter og friheter.

Mange av dagens lovprosesser omfattes trolig av dette kriteriet.

Datatilsynet har fått svært få slike henvendelser om rådføring i forbindelse med lovgivningsarbeidet etter 2018. Det er heller ikke satt i noe godt system at slike konsekvenser skal utredes på forhånd og at rådføring skal gjennomføres, så vidt vi erfarer.

Personvernkommisjonen peker på at den rådføringsplikten som følger av personvernforordningen ikke kan anses som oppfylt ved at Datatilsynet er høringsinstans i forbindelse med en ordinær offentlig høringsprosess.

Plikten til rådføring med tilsynsmyndigheten under et regelverksarbeid kan altså, verken tematisk eller prosessuelt, likestilles med offentlig høring av et lov- eller forskriftsforslag.

Det at vi ikke får slike henvendelser, indikerer etter vår oppfatning en klar svakhet ved dagens lovgivningsprosess.

Høringsnotater kommer ofte sent

Det er også ofte for sen, mangelfull og krevende beskrivelse av hvordan lovforslag påvirker personvernet i samfunnet i høringsnotater.

Stortingets mulighet til å gjøre avveininger mellom ulike samfunnshensyn, herunder personvern, er betinget av at de ulike hensynene er godt beskrevet og synliggjort.

Vurderingen av om et inngrep i personvernet skal vedtas må baseres på en fremstilling – i for eksempel høringsnotatet – av blant annet formålet med lovforslaget og hvilke konsekvenser behandlingen av personopplysninger medfører.  

Vår erfaring er at det også her gjøres for lite for å kartlegge og beskrive konsekvensene av en lov eller forskrift, i forhold til hvilke konsekvenser den får for personvernet i samfunnet.

Det er også en observasjon fra vår side måten inngrepene og konsekvensene beskrives på, er med på å undergrave den totale effekten av tiltakene man ønsker lovregulert. Man beskriver for eksempel ett og ett punkt, og svarer ut fortløpende med beskrivelse av avhjelpende tiltak. Som en følge av denne måten å fremstille lovforslaget og effektene på, blir det vanskeligere for Stortinget og andre å få med seg det totale og komplette bildet.

Dette er etter vår mening en klar svakhet ved hvordan høringer i dag gjennomføres, og som i seg selv innebærer en risiko for tilsidesettelse av personvernet.

Mangelfull oppfølging av høringssvar

Det er ofte ikke så lett å se resultatene av høringsinnspill som er gitt. Selv om vi roper varsku med utestemme og blokkbokstaver, så skjer det ikke alltid noe. 

I 2021 besvarte Datatilsynet 49 av totalt 151 høringer som gjaldt offentlige myndigheters behandling av personopplysninger og som hadde betydning for personvernet.  Av disse mente vi at utredningen av personvernkonsekvenser var mangelfull eller fraværende i 30 av tilfellene, altså 60 %. Hvordan våre høringsinnspill ble imøtekommet, er det krevende å få en oversikt over.

Fullmaktslovgivning som en trussel mot personvernet

Det er ikke mangler ved høringsinstituttet som er utfordringen – men snarere valg av lovsform.

Rammene for behandling av personopplysninger settes ofte i forbindelse med vedtakelse av lover som inneholder generelt utformede bestemmelser med forskriftshjemmel.

I slike tilfeller fastsettes kun de helt ytre rammene – hvis rammene fastsettes i det hele tatt – for tiltaket i loven, mens detaljene skal reguleres nærmere i forskrift. Dette i motsetning til tilfellene der inngrepet i personvernet fremgår klart av selve loven idet den vedtas.

Bruken av fullmaktslovgivning, hvor vurderingen (og gjennomføringen) av selve inngrepet i personvernet blir lagt til underliggende etater eller virksomheter, er en risiko i seg selv.

Vi ser altså slik fullmaktslovgivning som en klar trussel mot personvernet i dagens samfunn.

Våre erfaringer er at makten til å gjøre store inngrep i innbyggernes fundamentale rettigheter, flyttes fra de folkevalgte til forvaltningen.

Et illustrerende eksempel på dette er vedtaket vi nylig fattet i saken mot SSB, hvor de ønsket å innhente bongdata fra dagligvarebransjen med hjemmel i et enkeltvedtak fattet av dem selv.

Personvernkonsekvensene må frem

De forholdene jeg har fremhevet, innebærer en risiko for at det åpnes for uforholdsmessig store inngrep i personvernet uten at Stortinget er gjort tilstrekkelig oppmerksom på det og at helt sentrale rettssikkerhetsgarantier forvitrer.

Snarere er det regelen heller enn unntaket at personvernkonsekvensene som de folkevalgte skal vurdere er dårlige, mangelfulle og ofte feilaktig fremstilt.

Disse svakhetene ved lovgivningsprosessen settes enda mer på spissen når vi ser dette opp mot den digitale utviklingen- og revolusjonen vi står i nå.

Hvordan skal lovgiver og ansvarlige myndigheter kunne ta stilling til og ta ansvar for bruken av for eksempel kunstig intelligens satt opp mot personvern og andre grunnleggende rettigheter i samfunnet, når prosessene ikke tar høyde for både informasjonsbehovet og et tydelig og klart språk?

Det er viktig å anerkjenne utfordringene vi står ovenfor.