Innsamling av personopplysninger brukes i stor grad for å tilpasse innhold til den enkelte av oss på nettet. Internasjonale selskaper som Google, Facebook og Amazon lager målrettet og persontilpasset markedsføring basert på adferden vår på nettsteder og i apper. Profilene som lages om oss kan inkludere antagelser om kjønn, legning, helseopplysninger eller andre forhold. Muligheten til å kunne utfolde seg fritt og være seg selv, er en grunnleggende forutsetning for frihet. Et viktig premiss for denne friheten er en stat som anerkjenner hvert individs rettighet til å elske den man vil. Mangel på godt personvern kan legge begrensninger på denne friheten og true individets rettigheter.

Personvern betyr at den enkelte har en rett til å bestemme over personopplysningene sine. Det vil si alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Personvern har tett sammenheng med retten til privatliv. Med retten til privatliv har vi en rett til å leve slik vi selv ønsker – uten innblanding fra andre mennesker – så lenge vi ikke krenker andres friheter. Dette legger grunnlaget for å være fri til å være den vi er og å utfolde oss slik vi ønsker. Vi har alle en rett til å ha en privat sfære, et innerste rom hvor vi kan utvikle oss selv som mennesker. Vi trenger frihet og mulighet til å utforske, prøve og feile.

Retten til personvern er dessuten tett knyttet sammen med, og er en forutsetning for, utøvelsen av flere andre rettigheter og friheter. Det kan for eksempel være ytringsfrihet, foreningsfrihet og religionsfrihet. På denne måten er personvern også viktig for å sikre felles verdier og samfunnsengasjement i et demokratisk samfunn. Dersom personvernet er dårlig ivaretatt, kan det føre til at borgerne begrenser deltakelsen sin i meningsutvekslinger og politisk aktivitet. Et svakt personvern kan slik ha en nedkjølingseffekt på personers handlinger og deltakelse i samfunnet. Det setter demokratiet i fare.

For de fleste av oss vil det finnes opplysninger og informasjon om oss selv som vi ønsker å holde privat. Det betyr ikke at dette er opplysninger som bør hemmeligholdes. Poenget er at den enkelte selv skal kunne ha kontroll og bestemme hvilke opplysninger hen ønsker å dele med omverdenen. Du skal selv langt på vei kunne bestemme hvordan dine personopplysninger brukes, hvem du deler dem med, når du deler dem og på hvilken måte de deles. Personvern handler derfor ikke om hvorvidt du tenker at du har noe å skjule eller ikke, men om muligheten til å bestemme selv.

Mange deler informasjon om seg selv på sosiale medier. Det betyr likevel ikke at de deler alt om seg selv eller at de nødvendigvis ønsker at andre deler denne informasjonen videre. Kanskje er det enkelte ting de ønsker å fortelle vennene sine, men som de ikke vil dele med kolleger eller familie. Dette kan være spesielt krevende for mennesker som er utforskende rundt egen kjønnsidentitet og seksuell legning, og som bruker nettet til å finne svar på spørsmål eller komme i kontakt med likesinnede. Å kunne gjøre det uten frykt for at de skal bli overvåket eller at informasjonen blir delt med uønskede personer, er viktig.

Har du tenkt på hvorfor du og personen som sitter ved siden av deg på bussen får opp ulike annonser når dere åpner sosiale medier eller nettaviser? Overvåkingsbasert markedsføring betyr i mange tilfeller at det brukes algoritmer som er basert på kjønnsstereotyper eller rigide oppfatninger om hvilke interesser personer med en bestemt seksuell legning har. Algoritmene kan diskriminere slik at du for eksempel ikke blir presentert for informasjon som kunne vært relevant for deg, mens andre får se den. Kanskje går du glipp av et godt tilbud, en god artikkel, eller en stillingsutlysning du er interessert i, fordi algoritmene «tror» du er interessert i noe annet ut i fra det de er programmert til.

Opplysningene som samles inn om oss kan dessuten også brukes på en slik måte at informasjon om oss blir avslørt uten at vi selv har valgt å dele den. Store tek-selskap bruker personopplysninger til å beregne sannsynligheten for at du er interessert i et spesielt tema, hvilket kjønn du er eller hvilken legning du har. Denne informasjonen kan samles inn blant annet ved å se på hva du trykker «liker» på, hvilke nettsider du besøker, hvilke artikler du leser eller hvilke varer du kjøper. Vi mener det er grunnleggende viktig med en trygg digital hverdag hvor personvernet til den enkelte blir respektert og hvor vi har rom til å utvikle oss og utforske ulike sider ved oss selv, inkludert legning og kjønnsidentitet.

Til syvende og sist handler det om din frihet og din rett til å bestemme selv.

Denne kronikken ble først publisert i Dagsavisen 17. juni 2022.

Det var Abid Raja som skjulte seg inni NRKs nissedrakt, men verden er full av nisser. Er du en av dem? Ikke? Tja, vi får se på det. Det er en viss fare for at du kan føle deg avkledd, om du leser videre. Men ikke stopp! Det vil være verdt det. Etterpå kommer du til å gjøre noe smart.

I disse dager, hvor vi forsøker å balansere mellom effektiv julehandel og nye koronavirusvarianter, velger stadig flere av oss å gjøre julehandelen på internett. (Ingen ønsker vel omikron som julemiddagsgjest). Vi er på kort tid innom et stort antall nettbutikker for å handle gaver og bestille julemat og julepynt. I tillegg er det avgjørende å få dokumentert all denne julekosen på sosiale medier, hvor vi snør inne i stemningsfulle oppdateringer om julepyntede hus, lykkelige familiesamlinger og familiehunder utkledd som Rudolf. Med andre ord –vår digitale aktivitet intensiveres. Det meste av denne aktiviteten krever innlogging med brukernavn og passord, for å være helt sikker på at du faktisk er deg, og for at betalingsinformasjonen du oppgir skal bli tatt godt vare på. Muligheten for å bidra til å beskytte deg selv og dine data ligger derfor rett foran deg! Men i effektivitetens (og latskapens) navn forsøker vi å gjøre all denne tidkrevende innloggingen så enkel for oss selv som mulig. Ingen er vel interessert i hva jeg har handlet på Zalando uansett?

Hva er ditt favorittpassord?

Så vi gjenbruker våre enkle favorittpassord for å slippe å komme i den kjedelige situasjonen hvor vi må trykke «glemt passord». Juleinnkjop2020 oppgraderes til Juleinnkjop2021, Vinter2019 får holde et par år til, og Emilie21092001 går jo aldri ut på dato.

Er det ikke også slik at mye av julehandelen foregår i ledige stunder mellom digitale møter og andre jobbaktiviteter? På den bærbare pc-en, mens du er innlogget på jobbens interne nettverk via fjernaksessløsninger? Og du gjenbruker kanskje også de samme enkle passordene her? Eller?

I rapporten Risiko 2021 forklarer Nasjonal Sikkerhetsmyndighet (NSM) hvordan gjenbruk av passord mellom brukerkonti med ulikt tilgangsnivå eller gjenbruk av passord på private og jobbrelaterte konti, svekker virksomhetenes sikkerhet.

Microsoft har gjennomført en studie som viser at rundt 44 millioner brukere gjenbruker passordene fra og med 2020. I 2019 viste en studie at rundt 72 prosent av brukerne resirkulerte eller gjenbrukte passordene sine. 63 prosent av disse brukerne brukte nøyaktig samme passord for alle sine kontoer. (Les om studien på TechRadar: Millions of Microsoft users are reusing passwords | TechRadar)

Passordhumor

Komikeren Michael McIntyre harselerer med intens innlevelse i en Netflix-spesial om folks forhold til passord. Han mimrer om internettets liberale barndom, da det var fritt frem for oss å ha et passord med bare små bokstaver. Etter hvert som internettet ble mer populært, begynte virksomhetene der ute å legge føringer for passordene. Vi måtte ha minst én stor bokstav. Det ble som regel den første bokstaven i passordet vi allerede hadde. Så måtte vi ha tall, og alle plasserte et 1-tall etter det gamle passordet. Og når det etter hvert kom krav om minst ett spesialtegn, landet alles øyner på utropstegnet. Det passer fint til slutt, bak vårt kjære, trofaste passord. Hvordan kan det være så morsomt at salen bryter sammen i latter av en komikers passe unyanserte gjennomgang av passordhistorien? Fordi skremmende mange kjenner seg igjen i fortellingen.

Hackere har gjennom lang erfaring og analysering av våre passord-uvaner opparbeidet seg lister over våre 100, 1000 og kanskje 10 000 mest brukte passord. Disse passordlistene benyttes i målrettede og automatiserte angrep mot et stort antall virksomheter og privatpersoner samtidig – og kontinuerlig! Finnes ditt enkle passord på denne listen, er både du og muligens din arbeidsgiver et lett bytte for angriperne.

NCSC (Nasjonalt cybersikkerhetssenter) utførte en studie på villige organisasjoner for å teste hvor mottakelige de var for slike angrep. 75 prosent av organisasjonene hadde minst én konto, som brukte et av topp 1000-passordene. 87 prosent hadde minst én konto med et passord i topp 10 000.

Det svakeste leddet

NSM skriver at svake passord fremdeles er den letteste veien inn i virksomheters systemer. De rapporterer om utstrakte funn av korte passord som er lette å gjette, eller som lar seg knekke med automatiserte angrep. Som «Sommer2020» og «September2020». Jeg anbefaler å ta en kikk på NSMs tips for passord.

Microsoft uttaler at 99,9 prosent av alle identitetsrelaterte angrep kan stoppes ved bruk av tofaktorautentisering. Det betyr at man i tillegg til ordinært brukernavn og passord, benytter en ekstra «faktor», som bank-id eller SMS-kode på telefonen for å bevise sin identitet under påloggingen.

NSM anbefaler alle privatpersoner og virksomheter å innføre en slik ekstra autentisering der det er teknisk mulig.

Ligg unna lenka!

Vår uforsiktige og makelige uvane med å opprette og gjenbruke enkle passord, er ikke den eneste faren. Fremdeles blir vi urovekkende ofte forsøkt «fralurt» personlig informasjon, særlig påloggingsinformasjon og bank- og kontoinformasjon, fra angripere som utgir seg for å være noen som kunne ha vært en del av ditt nettverk.

På sosiale medier deler vi informasjon om hvem som er vår arbeidsgiver, hvor vi bor, hvem vi er i familie med, hvilket fotballag vi heier på eller hvilke organisasjoner og innsamlingsaksjoner vi donerer penger til. Alt dette er informasjon som kan brukes til å skreddersy et angrep nettopp mot deg. Vi hører stadig oftere om svindelforsøk hvor angriperne benytter eposter og SMS-er for å lure deg til å oppgi informasjon.

Telenor advarte nylig om et massivt svindelforsøk i forbindelse med at deres mobilkunder fikk en tekstmelding, der de ble bedt om å laste ned en applikasjon for å høre talebeskjeder. Hvis man lastet den ned, vil man få et virus på mobilen som gir kriminelle tilgang til å plukke opp brukernavn, passord, betalingsinformasjon, kontaktlisten din og andre personlige opplysninger som kan brukes til ytterligere svindelforsøk.

Også Oslo kommune måtte nylig advare mot falske SMS-er i forbindelse med 3 vaksinedose. I disse tekstmeldingene ble man bedt om å oppgi personnummer og navn. Ikke helt unaturlig i disse tider?

Og har du mottatt gunstige Black Friday-tilbud på epost, gjerne fra en kjent nettbutikk, og klikket på en lenke og bestilt varer? Du sjekket vel om nettsiden var den ekte?   

Kan du stole på IT-sjefen?

Angrepene blir stadig mer komplekse og vanskelige å oppdage for de fleste av oss. I det siste har det til og med dukket opp angrep hvor angriper utgir seg for å være IKT-avdelingen hos din arbeidsgiver. I en epost eller SMS ber de deg om å oppdatere ditt passord som et nødvendig tiltak etter en sikkerhetsoppdatering. Hadde du hatt samvittighet til å la være?

Ved å utgi seg for å være en troverdig avsender, er det større sannsynlighet for at vi lar oss lure til å åpne et vedlegg eller klikke på en lenke. Vanlige svindelmetoder og hva du kan gjøre for å oppdage og avverge dem, kan du blant annet lese mer om på Nettsvindel – Politiet.no.

Hvor ille kan det gå?

Men hackerne har da ingen interesse av meg? Eller den lille kommunen jeg jobber i? Spør Østre Toten! Der ble kommunen utsatt for datainnbrudd og krevd for løsepenger. De hadde ikke tilgang til sine egne datasystemer og saksarkiv, og store mengder dokumenter havnet på avveie. Innbruddet fikk både driften og økonomien til kommunen ned i knestående. Og Datatilsynet til å reagere.

I 90-tallsfilmene skjedde datainnbrudd ved at kriminelle først hadde brutt seg fysisk inn på arbeidsplassen, så fant de lappen med passord som lå skjult under tastaturet. Voilá! Så dumme er vi ikke lenger, tenker vi selvtilfreds. Vi gjemmer heller passordene våre i et notat på telefonen. Vel, da er det faktisk smartere å gjøre som idiotene i 90-tallsfilmene. (Ikke at jeg skal oppfordre til å legge lapp under tastaturet, altså!) For det er langt større fare for digitale innbrudd enn fysiske.

Føler du deg avkledd nå?

Om det er en trøst, du er ikke alene. Men det er et selskap du ikke vil være en del av.

En trygg digital oppvekst har vært en viktig satsing for Datatilsynet i mange år. Vi var initiativtaker og er fortsatt aktiv deltager i prosjektet Du bestemmer, en nettressurs for personvern, digital dømmekraft og nettvett, vi har behandlet mange saker der barn og unge rammet av sikkerhetsbrudd bl.a. i kommunene og vi har deltatt aktivt i debatten, og behandlet viktige saker knyttet til for eksempel overvåking av barn og smartklokker, og endelig, foreldres snoking i barns personopplysninger.

Barn og unges personvern må få en sentral plass

Ingen har fasitsvaret på hvordan barn kan få en trygg digital oppvekst. Men et klart fokus på barn og unges personopplysninger, bevissthet og kunnskap om dette, må bli svært viktig i utformingen av strategien. Persondata samles inn, analyseres, deles, gjenbrukes, selges og kjøpes i et tempo som er umulig å ha oversikt over. Dersom barn skal vernes for skadelig markedsføring, er personopplysninger involvert. Dersom barn skal bruke sosiale nettsamfunn trygt, er personopplysninger involvert.

Skal vi hindre snoking, hindre deling av bilder, hindre grov nettkrenkelse og det verste av alt, overgrep, er personopplysninger, og i en del tilfelle sikkerhetsspørsmål, involvert. Mitt klare råd er derfor: Bruk mye tid på personvern, og sørg for å innhente kompetanse der den finnes, nemlig i Datatilsynet.

Kompetanseheving i alle ledd er sentralt

Det er også viktig å vokte seg for den moralske pekefingeren. Vi må lære barn og unge til selv å ta ansvar for egne valg, uten å rette en pekefinger mot dem. Vi må fortelle om de negative følgene av å for eksempel dele nakenbilder, men dersom de likevel velger å gjøre det, er fordømmelse og pekefinger feil medisin.

Vi har alltid vært eksponert for farer i oppveksten. Jeg vokste opp ved E18 mellom Stockholm og Oslo, og bygde demning i veikanten, men jeg forsto at biler var farlige, og jeg måtte gjøre valg: Ikke gå utenfor den gule stripa, gå langt inn til siden hvis en trailer passerte, gå inn i hagen hvis vi hørte en sykebil, ikke sloss i veikanten.

Dagens unge må ta stilling til masse digitale spørsmål og håndtere digitale dilemmaer hver eneste dag. Det må vi som foreldre hjelpe dem til, det må skolen hjelpe dem til, men det dummest vi gjør, er å moralisere når de tar feil valg. Vi må akseptere at de, som vokser opp i en annen verden enn oss, også velger annerledes enn vi ville gjort. Det kanskje aller verste er å gi feil råd. Går ei ung jente til helsesykepleier og ber om hjelp fordi hun har delt et nakenbilde, må hun få riktig råd.  Hvis hun møtes med spørsmålet: «Men hvorfor sendte du bildet», er skylden plutselig plassert og tilliten brutt. Derfor er kompetanseheving helt avgjørende i alle ledd.

Involver riktig fagkompetanse

Hva skal til for at den strategien som nå skal utarbeides blir en suksess? Både selve sluttproduktet og oppfølgingen av det? Bred involvering, bred forankring og åpenhet er noen stikkord. Det er mange som har barn og unge som sitt arbeidsfelt, flere av dem er innledere her i dag. Alle må få mulighet til å delta, til å gi sine innspill.

Datatilsynet kan mye om personvern, og det vil være usedvanlig dumt å ikke involvere oss i spørsmål som dreier seg om personvern. Barneombudet har bred kompetanse på barns rettigheter, og må være en viktig bidragsyter. Og vi må ta de unge med på råd, snakke og lytte. Det er så lett å forsøke å ta de unges perspektiv, uten å snakke med de unge. Vi må erkjenne (jeg gjør det uten blygsel) at ungdomskulturen i dag er vanskelig å forstå. Gjør vi ikke det, bærer det feil av sted.

Få oversikt over hele aktørbildet

Det er et aktørbilde som er ganske komplisert. Ofte snakker vi om de unge selv, foreldre, lærere og kanskje helsesykepleiere på skolen. Men hvem utvikler appene? Hvem står bak de store selskapene? Og hva med de offentlige instansene som behandler opplysninger om barn og unge? Har de kompetansen som trengs?

Det er et helt økosystem som bidrar med det som kan bli en app som eksponerer barn for skadelig innhold, eller en app som gir de unge mulighet til å kontrollere egne data.

Jeg ser fram til å lese en strategi som hever blikket, kartlegger aktørbildet, og som ansvarliggjør de ulike aktørene. Et viktig stikkord for denne strategien må være kompetanseheving i alle ledd. Det trengs kompetanse i hvordan vi skal forebygge uønskede hendelser og kompetanse i hvordan vi skal håndtere det når det går galt.

Jeg håper ikke vi får en strategi der skjermtid og aldergrenser i sosiale medier får plass. Da ender strategien opp som det stussligste av alle dyr, nemlig papirtigeren.

For eksempel var «bråtabrann» nærmest en tradisjon hver vår, en tradisjon som nesten satt fyr på skolen. Det var slåsskamper, sladring om og direkte meldinger til medelever som gjorde at de ble satt utenfor og ble skikkelig lei seg. Vi helte vann på «godstolen» til læreren for at klassen skulle få seg en god latter eller ta hevn for en lekseprøve læreren hadde gitt oss. Noen elever fikk tak i et pornoblad, som de smugleste i skogen bak skolen, et fristed der verken lærere eller foresatte hadde tilgang.

Alle husker vi kanskje noe fra denne tiden – episoder, handlinger og opplevelser som vi kanskje angrer på eller skammer oss over, og som vi nå er glad for at er glemt. Ting som har fått gå i glemmeboken, og ikke fulgt oss videre i livet.

Dagens elever er nok ikke så annerledes enn det vi var. De er like nysgjerrige, de gjør samme type aktiviteter og hyss som oss. Og dette er vel en del av menneskets utvikling fra barn til voksen. Det som er forskjellen mellom meg og dagens skoleelever, er at de fleste aktivitetene de gjør registreres elektronisk.  Aktivitetene kan altså knyttes direkte til dem som barn eller elev. På den måten følger aktivitetene eleven opp gjennom oppveksten. Og kanskje gjelder det aktiviteter både på skolen og i fritiden?

Så – glemmeboka – som jeg er glad fantes i mine barne- og ungdomsår, finnes den lenger, eller er den forsvunnet? Klarer vi voksne å forstå hvilke konsekvenser digitaliseringen får for våre barn og for den oppvoksende generasjon?

På kontoret har jeg en plakat der står: «We shall all die, but our data never dies, they live forever».

Elevene har digitale ferdigheter i bøtter og spann, men mangler ofte digital dømmekraft. Vi voksne må sørge for å ha eller erverve en slik digital dømmekraft. Vi må ta ansvaret for å gi våre elever og barn trygge og solide digitale plattformer og verktøy, hvor personvern er innebygd og personvern er standard.

Barn skal ha frihet til å prøve og feile, utforske og utvikle seg uten at dette skal være tatovert inn i deres «digitale historie». Digitalisering av adferd og prestasjoner har konsekvenser for barns personvern.

Privatliv er et grunnleggende menneskelig behov som skaper rom for refleksjon og utvikling av personligheten. Vi har alle behov for å skape og utvikle sosiale relasjoner og ferdigheter på egen hånd, uten å bli registrert eller manipulert av ulike sosiale eller andre digitale plattformer til å forme hva vi skal mene.

For vi er vel fremdeles subjekter og ikke objekter når samfunnet, kommunen og skolene digitaliseres. La oss sørge for at retten til å bli glemt og få starte på ny, fremdeles finnes i vårt digitaliserte samfunn.

Det samme gjelder skoleelever og studenter. I et år har de skrudd på skolen, mange hjemmefra, på rommet sitt.

Digitale jobbmøter er en god erstatning når vi ikke kan gjennomføre fysiske, selv om alle er enige om at det er en kommunikasjonsform som er betydelig mer krevende. Men fungerer digitale klasserom og forelesningssaler like godt som erstatning?    

Les også: Fem tips om bruk av kamera i skole- og undervisningshverdagen.

Fra et personvernståsted er det i alle fall klart at det er et alternativ som innebærer nye problemstillinger vi ikke har vært vant til å håndtere i skole- og utdanningssektoren. Personvern har plutselig blitt et tema bare ved å være tilstede. Kontrasten fra det fysiske klasserommet er stor, og bruken av kamera har blitt et omdiskutert tema. Kan påskrudde kameraer hos elever kompensere for det vi mister i klasserommet, eller mister vi enda mer?   

Påskrudd hele dagen?

I jobbsammenheng har vi alle deltatt i møter hvor noen eller vi selv har vært representert gjennom et svart bilde. Ofte begrunnet i hakkete lyd og dårlig linje, men kanskje egentlig fordi vi er lei av å se på oss selv på skjermen? Eller at vi trenger en pause fra å være synlig som aktiv, overtydelig lytter. Selv om det er hyggelig å se levende ansikter i bildet, har vi en aksept og forståelse for dette behovet. Men hva hvis dette ikke var et alternativ? Og at vi i arbeidslivet alltid måtte bevise at vi var tilstede gjennom levende bilder og kameraet påskrudd?

Første skritt på veien for å vurdere om det er balanse, er å definere hva man ønsker å oppnå.

Det er realiteten for mange elever og studenter. Vi hører stadig historier om skoler og utdanningsinstitusjoner som stiller krav om at kameraene skal være skrudd på gjennom hele skoledagen. Og det er mange gode grunner som legges på bordet, for eksempel kontroll av deltakelse og fravær, eller at læreren har et behov for å se elevene for å kunne gi god undervisning. 

Det er utvilsomt også mange gode grunner som taler i motsatt retning. Elevene og studentene opplever ubehag, stress og følelsen av å bli overvåket. Mange forteller om hjemmeforhold som de ikke ønsker å vise frem. De er bekymret for å ikke ha kontroll med skjermbildet av seg selv. Og det har store konsekvenser å ikke følge kravet.

Balansegang

Personvernregelverket krever at det er en balanse i regnskapet når man behandler personopplysninger. Det man oppnår må være verdt kostnaden.

Første skritt på veien for å vurdere om det er balanse, er å definere hva man ønsker å oppnå. Formålene med å bruke personopplysninger, må klart angis. Kontroll av fravær kan være et slikt formål. Lærerens arbeidsforhold kan være et annet.

Videre må man blant annet vurdere om behandlingen av opplysninger er egnet og nødvendig for å oppnå formålene.

Det er en kjent sak at unge mennesker er blant de som sliter mest i pandemisituasjonen, og som har det tungt med at samfunnet er stengt ned. Og vi ser nå at de uttrykker klart at det oppleves som en merbelastning å måtte være synlig gjennom påskrudde kameraer gjennom hele skolehverdagen. Det går tydelig frem at kostnaden for elevene og studentene regnes som høy.

Lytt til studenter og elever

For å kunne skape balanse, må man derfor prøve å redusere kostnadene. Datatilsynet oppfordrer til å lytte til studentene og elevenes motforestillinger. Vi oppfordrer til å legge kostnaden inn i regnskapet, og erkjenne at dette er en stor belastning for de det gjelder. Ved å begrense omfanget av når man krever kameraet påskrudd der det er rom for det, vil det kanskje også oppleves som mer greit når det faktisk må være på.

De unge menneskene betaler allerede en høy pris i pandemidugnaden. Kanskje må skoler og utdanningsinstitusjoner i denne dugnaden tåle litt mindre mulighet for kontroll. Kanskje de unge skal gis noe mer tillit til at de tar ansvar for sin egen utdanning – uten at det sjekkes gjennom kontinuerlig påskrudde kameraer. La de også ha hakkete lyd og dårlig linje, som vi voksne har.

Takk for at jeg fikk muligheten til å snakke om foreldrenes rolle som digitale grensesetter og støttespiller. Det jeg kan om dette er todelt. Jeg kan noe i min rolle som far til to barn og også farfar til en digital innbygger, og jeg kan noe som leder av et tilsyn som er opptatt av at barn og unge skal kunne ivareta sitt eget personvern og respektere andres. I forlengelsen av dette har jeg også noen tanker om hvordan foreldrene kan hjelpe barna på veien.

Jeg hadde en livsfarlig oppvekst. Mitt barndomshjem lå helt inntil E18, hovedveien mellom Oslo og Stockholm. Det var færre biler den gangen, men det var like farlig å bli påkjørt den gangen som nå. Likevel lekte vi i veikanten, vi bygde demninger av overvannet som rant fra veien og ut i grøftekanten. Dette var noe av det absolutt morsomste jeg visste. Foreldrene mine var klare over farene, men aksepterte risikoen. Og de lærte meg opp til å forstå hva som var farlig og hva jeg måtte passe på.

Foreldrene må ta de nødvendige samtalene

Hvis noen hadde lekt i veikanten utenfor mitt barndomshjem i dag, ville barnevernet vært der på flekken. Men det ligger en lærdom i den enkle fortellingen over. Man er som internett- og mobiltelefonforelder i dag nødt til å stole på at barna tar riktige valg, for de er konstant oppe i situasjoner de må håndtere på egenhånd. Da er det viktig at foreldrene tar de nødvendige samtalene for å gjøre barna rustet til å møte disse situasjonene.

På meg virker det som om mange foreldre viker unna. De mener de ikke vet hva barna holder på med og forstår seg ikke på det. De har selvsagt helt rett, og slik har det alltid vært. Satt på spissen: Foreldre har aldri forstått hva barna deres holder på med, og hva barna deres blir utsatt for. Hvor mange historier har vi ikke hørt om barn som har blitt mobbet eller plaget uten at foreldrene visste om det? Det er en naturlig unnskyldning at man ikke forstår hva barna gjør, men det er også en dårlig unnskyldning. Å vise interesse, spørre, se hva de gjør, forsøke å sette seg inn i hva ungene holder på med, er utrolig viktig. Selv om de aller færreste skjønner seg på teknologi og sjargong.

Respekt og tillit, ikke kontroll

Dessverre ser vi også en del foreldre som velger å i alt for stor grad kontrollere hva barna deres gjør, eller som til enhver tid vil vite hvor barnet deres er. Det er helt forståelig. Vi har nok alle opplevd en klo av angst og usikkerhet, og vi har ønsket veldig sterkt å vite mer. Noen kjøper da klokker som overvåker barna, noen tyr til snoking.

Det er mange viktige ting vi må lære barna våre, og en av de viktige tingene er å respektere andres personvern og ikke plage andre digitalt slik som å ikke dele bilder uten samtykke eller sende slemme meldinger.

Men hvordan skal foreldre kunne lære barn å respektere andres personvern, når de samme foreldrene ikke respekterer sine egne barns personvern? Eksemplets makt er sterkt.

Jeg nevnte over at vi må stole på at barn tar riktige avgjørelse. Det betyr ikke at jeg er motstander av for eksempel regulering av aldersgrenser på sosiale nettsamfunn. Vi må huske på at alle reglene i personvernforordningen faktisk også gjelder barn og unge. Men digital kompetanse er uhyre viktig. Dubestemmer.no er en nettressurs om personvern, digital dømmekraft og nettvett. Her finner man filmer, diskusjonsopplegg og gode råd. Nettressursen kan brukes av både lærere, foreldre og alle andre for å øke bevisstheten, skape refleksjon og gi kunnskap. Vi er veldig stolte over hva vi har fått til med Du Bestemmer de siste årene i samarbeid med Utdanningsdirektoratet, og vi oppfordrer alle til å gå inn på nettsiden.

Sett deg inn i hva barna driver med

2021 er året for å lære seg noe nytt. Mitt mål er å bli mye bedre på å bruke Excel. Kanskje bør de med barn ha som mål å lære seg litt mer om hva ungene deres gjør når de sitter med nesa i skjermen. Opprett profil på TikTok, test Snapchat, følg noen youtubere eller noen influensere på Instagram. Dere vil garantert bli overrasket.

Til slutt en liten historie jeg lærte veldig mye av. På Pride Parade i 2019 sto jeg ved siden av to mødre med tenåringsdøtre. Det var ingen jeg kjente, men jeg ble oppmerksom på samtalen dem imellom, og særlig da Erna Solberg kom gående. Foreldrene ble svært ivrige og fortale ungdommene at «Se, der er statsministeren», noe de to ungdommene var ganske uinteresserte i. Litt etterpå kom en lastbil med youtubere på lasteplanet. Da tok de derimot helt av. De rødmet, hoppet, skrek og jublet: «Det er youtubere, mamma. Se, det er youtubere!». Og foreldrene skjønte åpenbart ikke hva ungene deres snakket om, eller hvorfor de var så begeistret…

Ha en fin Trygg internettdag!

Denne typen smarte reklameskilt kan potensielt overvåke oss. Det er fullt mulig å bygge inn ansiktsgjenkjenning i disse skiltene, og i så fall kan de spore bevegelsene våre over tid og sted. Dessuten er det en smal sak å analysere etnisiteten til de forbipasserende hvis man ønsker det. Ingen av delene er lov uten samtykke, og det er vanskelig å se for seg at dette er noe folk vil si ja til. Heldigvis kjenner vi ikke til at norske bedrifter bruker smarte reklameskilt til å spore folk eller analysere etnisitet.

Tvert imot er det flere virksomheter som jobber med å gjøre denne typen reklameskilt mest mulig personvernvennlig. Det fortjener de ros for. For eksempel har vi snakket med en bedrift som utfører ansiktsanalyse i sanntid og ikke lagrer noen personopplysninger i etterkant. Systemet kan analysere alder, kjønn og ansiktsuttrykk, men det er ikke i stand til å utføre ansiktsgjenkjenning, og dermed kan det ikke kjenne igjen personer over tid og sted.

Er da alt greit?

I bås

Overvåking er ikke den eneste problemstillingen knyttet til slike reklameskilt – eller målrettet reklame generelt, for den delen.

For noen år siden var det noen som prøvde seg med et smart reklameskilt på Oslo S. Når kvinner gikk forbi skiltet, viste det reklame for pizza, salat og dressing. Når menn gikk forbi, ble salaten fjernet fra reklamen. Begrunnelsen var at menn statistisk sett spiste mindre salat og at det dermed ikke var så relevant for menn å se reklame for salat.

Dette eksempelet illustrerer to ting. For det første går målrettet markedsføring ofte ut på å sette oss i bås. For å forenkle virkeligheten blir vi gjerne gruppert sammen med andre som man antar likner på oss. For menn som spiser sunt er kanskje ikke det så artig å bli satt i bås med salathatere.

For det andre risikerer man å forsterke stereotypier. Dersom menn kun ser reklame for mat uten salat, kan det føre til at de spiser mindre salat enn de ellers ville gjort. Dermed blir antakelsen en selvoppfyllende profeti. Å spise usunt er selvsagt alvorlig og et folkehelseproblem, men konsekvensene kan fort bli enda verre hvis det for eksempel er snakk om politisk reklame.

Gjennom 2010-tallet har stadig mer av våre bevegelser på nett blitt observert, samlet inn, analysert og delt. Det er viktig at overvåkingsøkonomien ikke tar over den fysiske sfæren også. Det må være mulig å legge fra seg personprofilene sine slik at man kan ferdes fritt og bli behandlet som et helt og sammensatt menneske.

Indre sjeleliv og kjønnsidentitet

«Smil for et godt tilbud.» Reklameskiltet foran deg fanger oppmerksomheten din. Idet du gliser, får du en knall-deal på fiskepinner. Dette er en artig gimmick som de færreste vil reagere på.

Analyse av ansiktsuttrykk kan imidlertid være problematisk. Markedsføringen kan potensielt være tilpasset til eller spille på sinnsstemningen til tilskueren. Dersom den som ser reklamen, ikke vet om at dette skjer, gir det markedsførerne svært stor makt til å påvirke underbevisstheten vår. Hvor går grensen mellom markedsføring og manipulasjon?

Dessuten er våre indre tanker og sjeleliv en privatsak. Vi velger selv om vi vil dele hva vi føler, og bedrifter kan ikke fritt ta for seg og tjene penger på denne informasjonen. Tenk deg at idet du går forbi et reklameskilt, endres teksten: «Vi ser at du er trist. Prøv vår nye krillolje!» Med ett vet alle rundt deg at du ikke føler deg på topp. Etter hvert som ansiktsanalysene blir bedre, kan de fange opp ubevisste bekymringsrynker som andre ikke nødvendigvis legger merke til.

Analyse av kjønn er også en viktig problemstilling. Analysene er ikke 100 % nøyaktige, og det kan være sårt dersom man som mann stadig får reklame rettet mot kvinner eller omvendt. Dette kan potensielt bli et særlig problem for transpersoner. Retten til privatliv er nært knyttet til retten til identitet. Kjønnsidentitet, som for øvrig også kan være flytende eller ikke-binær, er mye mer enn benstrukturen i ansiktet.

GDPR gjelder

Ansiktsanalyse er mulig fordi en form for kamera fanger opp omgivelsene. I brøkdelen av et sekund eksisterer et digitalt bilde av deg, som så analyseres og deretter (forhåpentligvis) slettes. I den brøkdelen av et sekund behandler systemet personopplysninger. Derfor gjelder personopplysningsloven og personvernforordningen (GDPR) for smarte reklameskilt.

Aktører som bruker smarte reklameskilt må derfor – blant annet – sørge for at de har tilstrekkelig rettslig grunnlag for å behandle personopplysninger. Noen datatilsyn i Europa har uttalt seg om hvorvidt bestemte reklameskiltløsninger kan baseres på en såkalt interesseavveiing eller om de krever gyldig samtykke fra alle forbipasserende. Det sistnevnte alternativet vil si at skiltene i praksis er ulovlige, siden det ikke vil være mulig å få samtykke fra alle som tilfeldigvis går forbi skiltene. Vi mener at man ikke kan si ja eller nei til en bestemt teknologi generelt. I stedet må man ta stilling til hvordan teknologien brukes i et konkret tilfelle og hvordan den påvirker rettighetene og frihetene til den enkelte.

Aktørene må også sørge for at de behandler personopplysninger på en rettferdig og åpen måte. For det første innebærer dette tydelig skilting. For det andre kan det innebære at aktørene må fortelle på et overordnet nivå om hvordan de bruker opplysninger om folk til å tilpasse markedsføring.

Det er også viktig å vareta den enkeltes rettigheter. I tråd med plikten til innebygget personvern er det for sent å tenke på dette når systemet er ferdig laget – hvordan rettighetene kan varetas må være fokus fra dag én i utviklingen. Hvordan kan for eksempel slike reklameskilt vareta den enkeltes rett til å protestere mot behandling av personopplysninger? Man kan ikke kreve at folk må ta store omveier om skiltene dersom de ikke ønsker målrettet markedsføring. Her er det teknologien som må tilpasse seg våre rettigheter, og ikke omvendt.

Designed to serve mankind?

Behandling av personopplysninger bør ha som formål å tjene menneskeheten. Det følger av personvernforordningen (GDPR) fortalepunkt 4. Er stadig mer analyse for målrettet markedsføring i menneskehetens interesse?

Dette blogginnlegget bygger på et innlegg jeg holdt på CPDP-konferansen i Brussel i januar. https://www.cpdpconferences.org/

Helse Sør – Øst og utkontraktering av IKT-drift

Jeg vil begynne med det som kanskje var den største saken fra forrige år, nemlig Helse Sør-Øst (HSØ) og utkontraktering av IKT-driften. Det dreide seg altså om en kontrakt på 5 milliarder kroner, som omfattet ni helseforetak (sykehus) i et område der det bor 2,8 millioner mennesker. Det var et amerikansk selskap, DXC, som skulle drifte IKT-infrastrukturen i helseforetakene i HSØ.

Før man setter ut en slik kontrakt, må man gjøre en risikovurdering. Kun da har man oversikt over hvilke konsekvenser tjenesteutsettingen kan ha for sikkerhet og personvern til innbyggerne. En slik konsekvensutredning må omfatte om, og hvor en tjenesteutsetting skal skje. Dersom man vurderer å tjenesteutsette til Bulgaria, slik Helse Sør-Øst gjorde, må man utrede konsekvensen av å velge Bulgaria. I tillegg må man drive sikkerhetsledelse. Det vil si at de som bærer ansvar for beslutningen, også faktisk treffer den, og følger opp beslutningen som er fattet. I denne saken mente vi dette ikke har vært tilfelle, blant annet fordi det var uklare ansvarsforhold. Vi mener også det ikke ble gjort en god nok risikovurdering før kontrakten ble inngått og før Bulgaria ble valgt.

Derfor ila vi et overtredelsesgebyr på 800 000 kroner til alle helseforetakene, til sammen 7, 2 millioner kroner, og gebyrene ble vedtatt.

Det kom imidlertid mer ut av denne saken enn «kun» et overtredelsesgebyr.

Vurder personvernkonsekvenser

Vi tok initiativ til en dialog med blant annet Nasjonal Sikkerhetsmyndighet, Direktoratet for e-helse og Helsetilsynet for å diskutere hva man måtte gjøre av vurderinger og arbeidsmetodikk før man inngikk en kontrakt med en IKT-leverandør i et annet land. Ett enighetspunkt kan nevnes: Veldig mye, kanskje alt, kan utkontrakteres rent juridisk, dersom man gjør solide vurderinger på forhånd, og disse vurderingene gis grønt lys. For vår del er selvsagt det å gjennomføre dype utredninger av personvernkonsekvenser særlig viktig.

Men selv om man kan gjøre en lovlig tjenesteutsetting, er det til syvende og sist et politisk spørsmål, et kommersielt spørsmål og et spørsmål om tillit om man skal gjøre det. Som det stod i Aftenposten den 27. august 2018 er det mange land som ikke inngår kontrakter med Huawei, noen norske selskaper gjør det. Jeg har selvsagt ingen mening om dette, men det er interessant at spørsmålet reises.

Kanskje enda mer illustrerende var enden på Helse Sør-Øst-visa: Kontrakten ble kansellert våren 2018, og det ble besluttet ikke å utkontraktere. Styreleder Svein Gjedrem sa det slik om veien videre:

Sykehuspartner skal i dette arbeidet legge vekt på informasjonssikkerhet og personvern, risikovurderinger og gjenbruk av investeringer og planverk som er gjort så langt. Alle helseforetakene i regionen skal ta del i arbeidet som databehandlingsansvarlige.

Cambridge Analytica

En svært viktig sak vinteren og våren 2018 var skandalen knyttet til Facebook og selskapet Cambridge Analytica (CA).

Saken startet egentlig for et års tid siden, da to sveitsiske journalister publiserte artikkelen «Dataene som snudde verden på hodet». Den handler om hvordan data ble brukt til å påvirke utfallet av valget i USA og Brexit-kampanjen i Storbritannia.

De beskrev at det fantes noen interessante sammenhenger. En gruppe forskere hadde blant annet utviklet en psykometrisk modell der folk ble delt inn i kategorier som åpen, planmessig eller nevrotisk. Disse kategoriene ble koblet til de samme folkenes nettadferd: hva de hadde lest, «likt», delt osv. Eller som de skrev:

Ut fra dette bygde de profiler over hvordan folk var, og hva de sannsynligvis stemte ved valget. De som fulgte Lady Gaga, var mest sannsynlig ekstroverte, mens de som «liker» filosofi-postinger oftest er introverte. For eksempel er det noe flere homofile enn heterofile menn som «liker» hudpleie- og sminkemerket MAC. I 2012 demonstrerte Konsinki (en forsker, min anmerkning), at man med gjennomsnittlig 68 registrerte «liker»-klikk fra en Facebook-bruker kan forutsi hudfargen deres (95 % sikkert), deres oppgitte seksuelle legning (88 % sikkert) og, i USA, republikansk eller demokratisk partitilhørighet (85 % sikkert).

Man sammenholdt så all denne informasjonen med listene over de som er registrert til de republikanske primærvalgene, pluss annen tilgjengelig informasjon fra nettet, og beregner personlighetsprofiler etter den psykometriske modellen. Digitale fotavtrykk blir til virkelige mennesker med bekymringer, behov, interesser og boligadresser.

Dette ble brukt i Donald Trumps valgkamp: I Little Haiti-strøket i Miami, for eksempel, sendte Trump-teamet ut annonser til beboerne om Clinton-stiftelsens mislykkede bistandsarbeid etter jordskjelvet på Haiti, for å ta fra dem lysten til å stemme på Hillary Clinton. Et av målene var å holde potensielle Clinton-velgere (bl.a. tvilere på venstresiden, afroamerikanere og unge kvinner) borte fra valgurnene; å «hemme» disse velgergruppene.

Personlighetstest ga tilgang til persondata

Men, det verken journalistene, eller vi som har jobbet mye med sosiale medier visste, var hvordan de samlet inn dataene. Vi trodde det var basert på samtykke, og formelt var det kanskje det, men folk visste neppe hva de ga tillatelse til. De fleste dataene kom via appen «thisisyourdigitallife», en slags personlighetstest på nett. Dermed kunne Cambridge Analytica (CA) høste inn masse persondata, og Facebooks brukervilkår åpnet for at de ikke bare kunne samle data fra de som brukte appen, men også fra deres venner og venners venner. Derfor kunne CA hente inn data om opp mot 87 millioner amerikanske brukere (tallene det opereres med varierer noe). Det blir en veldig liten parentes at 17 nordmenn lastet ned appen, men har en betydelig interesse at 47 000 nordmenn kan ha blitt eksponert.

Vi kan si veldig mye om denne saken, men det har utvilsomt vært en alvorlig skrell for FB, og aksjen falt med 13 % på det meste. Cambridge Analytica er et skandalisert selskap, det har gått konkurs og granskes av Datatilsynet i Storbritannia. Og Marc Zuckerberg blir nok aldri president i USA, slik noen antydet for et år siden, men det sa vi vel om Donald Trump også.

Et læringspunkt er at mange har fått opp øynene for hva vi deler av data. Kanskje er ikke tester av typen «Hva slags hund ville du vært?» eller «Hvilket land er du egentlig innbygger av?» så innmari morsomme lenger. Og kanskje er det slik at vi nå vet litt mer om hvor mye data som finnes om oss, og hvor store datamengdene er.

Pris – innebygd personvern i praksis

Innebygd personvern er et viktig prinsipp i det nye lovverket. For å fremme dette viktige arbeidet, utlyste Datatilsynet en konkurranse for beste løsning for innebygd personvern. Prisen ble delt ut på nyåret, og vinneren var Nasjonal kjernejournal. Til inspirasjon gjengir jeg hovedpunktene i juryens begrunnelse:

«Vinneren gir klar og tydelig informasjon om løsningen til den registrerte. Vinneren har dokumentert utviklingsmetodikk som følger personvernprinsipper og veileder fra Datatilsynet, og løsningen styrker informasjonssikkerheten rundt personopplysningene. Vinneren er en nasjonal løsning som berører mange. En løsning mange i offentlig og privat sektor kan se til som et eksempel på innebygd personvern i praksis.

Vinneren understøtter den enkeltes selvbestemmelsesrett over egne opplysninger og bruken av dem. Pasienten registrerte kan se hvilke personopplysninger som er registrert om seg, hvem som har hatt tilgang til opplysningene og kan regulere tilgangen. Løsningen har lagt til rette for å ivareta viktige rettigheter som den registrerte har i personvernforordningen og i norske forskrifter. I tillegg mener juryen at løsningen gjør det enklere for virksomheten å etterleve personvernregelverket.»

Nå har vi utlyst en ny konkurranse for innebygd personvern i praksis, med frist for påmelding 1. desember. Vinneren får et flott litografi, heder og ære. Vi deler også ut en studentpris, der vinneren får 20 000 kroner.

Smartklokker for barn

Saken vi behandlet om smartklokker brukt av barn startet med at Forbrukerrådet testet sikkerheten ved smartklokker, og avdekket alvorlige svakheter. Dette var altså klokker solgt som et trygghetsprodukt. Vi har lenge beveget oss i retning av flere forbrukersaker. Vi tok derfor klokke-sakene til behandling, og stilte de samme spørsmålene som vi har gjort mange ganger før:

• Hva samles inn av personopplysninger, klassifisering av dataene?
• Hvilke risikovurdering er gjort?
• Hvilke opplysning gis til forbrukerne?
• Når slettes opplysninger?
• Overføres data til utlandet?
• Tredjeparter? Hva samles inn, deles og til hvilke formål?

Vi fikk nedslående svar. Selskapene hadde jevnt over dårlig kontroll på dataflyten, opplysningene som ble gitt til kundene eller forbrukerne var for dårlig, data ble overført til utlandet osv.

Som en følge av dette påla vi stans av behandling av data fra et gitt tidspunkt. To av selskapene tok tak og fikk ryddet opp, og pålegget ble aldri satt i kraft. Det tredje selskapet kastet kortene og sluttet å selge produktet sitt.

Hvorfor nevner jeg denne saken? Fordi vi kommer til å stille de samme spørsmålene når vi kommer på tilsyn hos norske helseforetak, på sykehus og alle andre steder det behandles persondata i helsesektoren. Det er stor risiko forbundet med å kjøpe en eller annen hyllevare og tro at alt er ok, at alt er vurdert og at sikkerheten er ivaretatt. Det er altså slett ikke tilfelle, og jeg håper selvsagt at helsesektoren, i bred forstand, gjør dette bedre.

Avviksmeldinger

En av endringene i det nye regelverket er at terskelen for å sende avviksmelding er lavere. Vi har mottatt ca. 600 avviksmeldinger så langt i år. Dette er en voldsom økning, i 2017 mottok vi 349, i 2016 mottok vi 206 og i 2015 under 100. Vi må forvente opp mot 1000 avviksmeldinger innen årets utgang.

Dette stiller oss selvsagt overfor nye utfordringer, som kan oppsummeres slik:

• Det er i seg selv utfordrende å håndtere et så stort antall saker.
• Mange skal inn i det internasjonale sporet, fordi den behandlingsansvarlige har virksomhet også i andre EU/EØS-land.
• En del av sakene som nå meldes inn, er antagelig ikke så «alvorlig» at det er nødvendig å melde det som et avvik. Grunnen er nok at mange velger å melde avvik, av frykt for å gjøre noe galt. Det er i og for seg bra, men samtidig må vi få justert praksis. Vi etablerer derfor en såkalt «Task Force» internt, for å etablere enhetlig praksis og for å informere om «nivået» for å melde avvik. I tillegg vil det komme nærmere veiledning fra Personvernrådet.

Internasjonale saker – så langt

Personvernrådet er det viktigste europeiske rådet, og skal blant annet avgjøre saker der medlemsstatene ikke blir enig. Vår status i dette viktige organet er så godt som vi kan forvente, gitt at vi ikke er medlem av EU: Vi har fullt medlemskap, uten stemmerett.

Alle saker av internasjonal karakter skal meldes inn i en database, kalt IMI. Her utpekes en ansvarlig personvernmyndighet, som har ansvar for å behandle saken, og andre land kan registrere seg som berørt myndighet, og delta i behandlingen, enten aktivt eller ved å motta informasjon.

Så langt har det kommet inn rundt 200 saker i denne databasen. Det er mot alle de «usual suspects», og går på blant annet de registrertes rettigheter. Det er naturlig nok mange avvikssaker som også er registrert her. Vi er utpekt som ledende personvernmyndighet i en sak.

Personvernombud

Mange flere virksomheter må opprette personvernombud. Så langt har 563 ombud, som representerer 787 virksomheter, registrert seg via Altinn. Av disse er 195 kommuner og fylkeskommuner, er veldig lavt antall, gitt at ordningen med personvernombud er obligatorisk for offentlige etater.

Andre typer saker – så langt

Vi har så langt ikke fått noen saker om forhåndsdrøftelser. Dette er ganske naturlig, i og med at virksomhetene før en slik begjæring må gjennomføre en bred utredning av personvernkonsekvenser, såkalt Data Protection Impact Assessement (DPIA). Vi regner imidlertid at det kun er et spørsmål om tid før de førstebegjæringene kommer inn.

Det har heller ikke kommet inn noen saker om dataportabilitet, og det er heller ikke overraskende, gitt at forordningen kun er 6 uker gammel her i Norge. Datatportabilitet er en ny rettighet som nok ikke er så kjent enda.

Vi har imidlertid mottatt ca. 10 bransjenormer til godkjenning, bl.a. fra energibransjen, finansnæringen og eiendomsmeglerne. Vi ser for oss at dette blir en vesentlig oppgave framover, og vet at mange andre er i kjømda. Før sommeren hadde vi identifisert rundt 30 bransjer som drev normarbeid, så her må vi brette opp ermene utover høsten.

Et viktig prinsipp i det nye regelverket er det såkalte ansvarsprinsippet; det er virksomhetene selv som har ansvar for å følge reglene, og legge opp prosesser knyttet til blant annet DPIA, til å ha personvernombud, jobbe etter prinsippene for innebygd personvern osv.

Veiledning

Vi har alltid hatt en åpen dørs politikk, og terskelen for å få veiledningsmøter med Datatilsynet har vært lav. Det siste halvåret har vi imidlertid strammet inn, og krevd mer forberedelse før vi avholder møter. Denne linjen vil fortsette framover. Vi tar vårt veiledningsarbeid meget alvorlig, og ser på det som helt sentralt i virksomheten vår. Men veiledning er mer enn møter; det er en god hjemmeside med gode veiledere og selvhjelpsverktøy, og en veiledningstjeneste som også kan gi skriftlig om muntlig veiledning.

Vi vil imidlertid avklare forholdet mellom kontaktmøter, veiledningsmøter og forhåndsdrøftelser, og vi vil som en del av dette utarbeide en ny plattform for veiledningsarbeidet. Vi vil praktisere ansvarsprinsippet, samtidig som vi selvsagt forstår at det er behov for veiledning. Og vi vil også «tvinge fram» gode vurderinger fra virksomheter.

Endelig er det verdt å merke seg at antall veiledningshenvendelser har økt, og vi har også opplevd en mangedobling i antall besøk på nettsiden vår. Vi lanserte også en ny hjemmeside, med oppdatert innhold og en ny struktur, i begynnelsen av juli.

Hva forventer vi så fremover? Vi vil om ikke lenge fatte vårt første vedtak etter ny lov. Vi vil i løpet av høsten gjennomføre de første tilsynene, og bl.a. sjekke om offentlige etater har opprettet personvernombud. Vi vil utarbeide en metodikk for å føre tilsyn med algoritmer og automatiserte avgjørelser, og gjennomføre et forprosjekt for å utvikle dette videre. Vi vil etablere en ny tilsynsmetodikk, og vil effektivisere veiledningsarbeidet og saksbehandlingen vår. Avviksmeldingene vil bli analysert, og vil gi oss nyttig kunnskap om hvor skoen trykker for norske virksomheter.

Kort sagt; vi lever i personvernets tidsalder, og hvis det er en gang i historien man skal jobbe i Datatilsynet, er det nettopp nå.

En sentral del av opplæringen i digital dømmekraft handler om personvern. Barn og unge må lære hvordan de kan og bør bruke egne og andres personopplysninger, og at visse handlinger og ytringer kan være straffbare. De må forstå konsekvensene av det de gjør. Med kunnskap om konsekvenser av ulike valg følger ansvar. Uten kunnskap kan de unge heller ikke nyttiggjøre seg rettighetene sine.

Digital dømmekraft handler også om skolemiljø. Det er en del av skolens samfunnsoppdrag. De ansatte trenger nødvendig kunnskap så de kan forebygge og håndtere krenkelser, mobbing, trakassering og diskriminering.

Arbeidet må starte på ledernivå

For å gi elevene opplæringen de har krav på, må det arbeides jevnlig og systematisk på alle nivå i skolesystemet. Både skoleeiere og -ledere har helt avgjørende roller når det gjelder utvikling av digital kompetanse. Skolene må ta mye større eierskap til de voksende utfordringene. Og for at lærerne skal bli godt nok rustet, må arbeidet starte på ledernivå.

Skolen har dessuten en viktig rolle for å utjevne digitale skiller og sørge for at alle barn i Norge har like muligheter. Noen barn trenger ekstra opplæring, det gjelder ikke minst innenfor digitale ferdigheter.

Gode, velprøvde verktøy

For en del vil det kunne føles ubehagelig å gå inn i et område som oppleves som de unge sitt. Men vi har plikt til å ta tak i dette. Vi kan ikke sende de unge ut i det digitale landskapet uten nødvendig kompetanse.

Og nettopp derfor er det Utdanningsdirektoratet og Datatilsynet driver nettressursen Dubestemmer.no. Det skal være et støtteverktøy for alle som ønsker å snakke med barn og unge om digital dømmekraft. På nettsidene er det faktainformasjon, filmer, historier fra virkeligheten og diskusjonsoppgaver innenfor tema som personvern, uønskede hendelser og kildekritikk. Nettressursen er blant de mest brukte i landet når det gjelder digital dømmekraft, og får svært gode tilbakemeldinger fra lærere son har benyttet det.

Men selv om verktøyene er fritt tilgjengelige, unngår mange fremdeles å ta tak i dette på en systematisk måte. Dessverre venter skoleledere til det går galt – og uønskede hendelser knyttet til digitale verktøy har ført til uopprettelig skade – før de tar utfordringene på alvor. Det er vel snart på tide å være sitt ansvar bevisst?

(Denne artikkelen sto også på trykk i Moderne Utdanning som var bilag i Dagbladet i mars 2018.)