Utdannings- og forskningskomiteen har nå avgitt sin innstilling om opprettelsen av individregistre over alle barn i barnehager og grunnopplæring. Mandag 26. mai går den til behandling i Stortinget. Til tross for at majoriteten av Stortingets opposisjonspartier går tydelig imot de foreslåtte registrene, ser det ut til at det likevel kan bli flertall for å vedta lovforslaget. Innstillingen viser imidlertid at de fleste er enige om at regjeringen ikke har utredet personvernkonsekvensene godt nok.

Ved å vedta forslaget, aksepteres dermed en stor risiko for at barn og unges personvern nå vil svekkes på uopprettelig vis. I tillegg vil Stortinget gjennom sin aksept muliggjøre ytterligere inngrep ved å gi Kunnskapsdepartementet forskriftshjemler til å utvide individregistrene i omfang og formål. 

Det som overrasker oss mest, er at Høyre og Venstre, som er de eneste partiene som støtter Arbeiderpartiregjeringens lovforslag, i innstillingen snur alle personvernprinsipper og -prosedyrer på hodet. De vil gjennomføre lovarbeidet først, og heller forholde seg til personvernkonsekvensene etterpå. Dette er foruroligende.

Personvernet er under stadig press

To ulike regjeringsoppnevnte personvernkommisjoner har, både i 2009 og 2022, poengtert at barn og unges personvern er under stadig press. Likevel synes ikke myndighetene å kunne stagge sin iver etter å registrere og koble personopplysninger om alle landets innbyggere, innenfor stadig nye områder. I iveren glemmer de å gjøre nødvendige vurderinger av konsekvensene dette medfører for personvernet.

Dette har blitt svært tydelig gjennom de politiske prosessene som danner grunnlag for lovforslaget Stortinget nå skal behandle. 

Stortingets grunnlag for å beslutte opprettelsen av registrene er for svakt

Datatilsynet og Utdanningsforbundet har gjennom lang tid synliggjort hvor mangelfullt Kunnskapsdepartementets lovarbeid har vært. Departementet har blant annet valgt å se bort fra sin egen utredningsinstruks, der det fremheves at tiltak som berører prinsipielle spørsmål må drøftes på en balansert og systematisk måte – en skal «unngå å systematisk overvurdere nyttevirkninger og undervurdere kostnadsvirkninger». 

Som vi gjentatte ganger har påpekt, er ikke dette unngått. Antakelser om individregistrenes potensielle samfunnsnytte overdrives, mens de rent faktiske svekkelsene av personvernet underkommuniseres. Selv om Kunnskapsdepartementet har gjort endringer fra det opprinnelige høringsnotatet til den endelige lovproposisjonen, har det aldri blitt gjort en reell vurdering av de konkrete personvernkonsekvensene opprettelsen av de foreslåtte registrene vil innebære.

Med andre ord preges regjeringens lovforslag av ikke å tilfredsstille forventningene som følger av Norges forpliktelser overfor Den europeiske menneskerettighetskonvensjonen og personvernforordningen. Dermed har heller ikke Stortinget et godt nok grunnlag for å kunne vedta lovendringene som vil gi hjemmel for å opprette individregistrene.

Bedre etter snar enn føre var, Høyre og Venstre?

Personvernkommisjonen anbefalte i 2022 at det skal iverksettes systematiske personvernvurderinger i alle lovarbeider. Dette ble begrunnet med at «dersom personvernkonsekvenser ikke utredes i tilstrekkelig grad som en del av regelverksarbeidet, risikerer vi at det legges til rette for uforholdsmessig store inngrep i personvernet». 

Det ser ut som om Utdannings- og forskningskomiteens medlemmer fra Høyre og Venstre også ser dette, til tross for at de støtter Arbeiderparti-regjeringens individregisterforslag. Medlemmene fra disse partiene, som historisk har vært å anse som personvernpartier som hegner om enkeltmenneskets ukrenkelighet og krav på respekt og vern mot statlig inngripen, forutsetter nemlig at regjeringen ved en eventuell etablering av registrene må gjøre en nøye vurdering av personvernkonsekvensene for barn. Men dette vil i så fall først skje etter at loven er vedtatt, og dermed snur de som sagt alle personvernprinsipper og -prosedyrer på hodet.

Når personvern, som personvernkommisjonen uttrykker det, dypest sett «handler om hvilket samfunn vi ønsker å leve i, i dag og i dagene som kommer», kan man ikke som Høyre og Venstre tilnærme seg personvernspørsmål med innstillingen om at det er bedre etter snar enn føre var. 

Registerdataforskerne Fartein Ask Torvik, Camilla Stoltenberg, Martin Flatø og Karin Monstad skriver i sitt innlegg på Altinget 30. april 2025, at Datatilsynet og Utdanningsforbundet tegner et skremmebilde av de foreslåtte individregistrene over barn i barnehager og grunnopplæring. De antyder også at vi ikke ser nytten av kunnskap, for å utvikle tilbudet til landets barnehagebarn og elever.

Selv tegner de et vrengebilde av det vi faktisk har skrevet, og bidrar dermed til en avsporing av debatten om hvordan regjeringens lovforslag utfordrer barn og unges menneskerettslige, grunnlovfestede rett til personvern.

Personvern og menneskerettigheter er ikke en avsporing

Den europeiske menneskerettighetskonvensjonen (EMK) artikkel 8 slår fast at offentlige myndigheter kun kan gjøre inngrep i privatlivet, herunder i retten til personvern, dersom inngrepet har lovhjemmel og er nødvendig for å ivareta andre demokratiske samfunnsverdier. Tilsvarende følger også av grunnleggende personvernprinsipper, blant annet regulert i personvernforordningen.

Nødvendighetskriteriet i EMK forutsetter at det gjøres en avveining mellom de ulike hensynene, i dette tilfellet hvilke personverninngrep lovforslaget innebærer opp mot nytteverdien av det. Våre henvisninger til menneskerettighetene retter seg nettopp mot hvordan lovforslaget legger grunnlag for disse avveiningene, og vårt gjennomgående hovedpoeng har vært at dette er mangelfullt.

Vi har påpekt at personvernkonsekvensene ikke har blitt tilstrekkelig presentert og vurdert, og at behovet for, og nytteverdien av, registrene ikke har blitt drøftet på en overbevisende måte. Regjeringens lovforslag har med andre ord klare mangler sett opp mot forventningene som følger av EMK artikkel 8, og vi er derfor grunnleggende uenige i de fire forskernes påstander om at koblingen til menneskerettigheter er en avsporing.

Sammenligningen med eksisterende helseregistre bommer

Ask Torvik, Stoltenberg, Flatø og Monstad sammenligner de foreslåtte individregistrene med de lovregulerte helseregistrene vi allerede har i Norge. Med dette argumenterer de for opprettelsen av nye registre, ved å anføre at det allerede registreres mer inngripende opplysninger om barn andre steder. Vi mener dette uttrykker en bagatellisering av personvernkonsekvensene som følger med opprettelsen av individregistrene.

Det er her nødvendig å påpeke at det er en vesensforskjell i reguleringsformen av helseregistrene, sett i forhold til de foreslåtte individregistrene over barn i barnehager og grunnopplæring. Helseregistrene er tematisk avgrenset, og helseregisterloven – som gir hjemmelen for opprettelse av helseregistrene – inneholder en rekke krav knyttet til behandling av personopplysninger. I tillegg reguleres hvert enkelt register nærmere i dedikerte forskrifter.

De foreslåtte individregistrene skal hjemles i barnehageloven, opplæringsloven og privatskoleloven, uten at det medfølger tilsvarende krav og plikter som helseregisterloven gir. Dette innebærer at garantiene som ligger i lovregulert behandling av personopplysninger, vil være svakere ivaretatt i individregistrene enn i helseregistrene. Når det samtidig åpnes for at det gjennom forskrift skal være mulig å endre registrene, og dermed også premissene for opprettelsen av dem, blir det heller ikke mulig å overskue de langsiktige personvernkonsekvensene av regjeringens forslag.

Ulike fagfelt har ulike kunnskapsbehov

De fire forskerne går også langt i å fremstille Datatilsynet og Utdanningsforbundet som kunnskapsfiendtlige. De hevder blant annet at vi skulle mene at barnehager og skoler ikke trenger mer kunnskap. Dette er åpenbart å legge ord i munnen på oss, og samtidig tåkelegge at spørsmålet om å opprette de foreslåtte individregistrene må besvares etter en reell avveielse av personverninngrepet opp mot nytteverdien. Dette gjøres på sviktende grunnlag når personverninngrepet underkommuniseres, og den påståtte nytten samtidig mangler en overbevisende underbygning.

For to år siden la kvalitetsutviklingsutvalget frem sin NOU 2023:1 Kvalitetsvurdering og kvalitetsutvikling i skolen. Et kunnskapsgrunnlag. Det bredt sammensatte utvalget utredet nettopp spørsmålet om hvilke behov ulike nivåer i skolesektoren har for informasjon og støtte til å drive kvalitetsutvikling. Det var ingenting i deres analyser som peker i retning av at nasjonale myndigheter trenger å registrere og sammenkoble individdata for å kunne ivareta sitt ansvar, ei heller at det eksisterer store kunnskapshull som bare kan tettes med omfattende registrering og kobling av barns personopplysninger.

Datatilsynet og Utdanningsforbundet er med andre ord ikke imot kunnskap, men lovforslaget gir ingen overbevisende begrunnelser for at kunnskapen som skal komme ut av registerdataforskningen er nødvendig eller viktig nok, til å veie opp for det omfattende personverninngrepet individregistrene medfører. Som vi har skrevet tidligere, holder det ikke å sette en reell svekkelse av personvernet opp mot antakelser og forhåpninger om at registrene skal være til barnas beste. Nytteverdien må presenteres som mer enn en generell ønsketenkning.

Stortinget må ikke la seg avlede – registrene truer barns personvern

Etter omfattende kritikk i en mengde høringsinnspill, har Kunnskapsdepartementet gjort flere endringer i lovforslaget som Stortinget nå skal behandle. Disse endringene er gjort med mål om å redusere personvernkonsekvensene i forhold til det opprinnelige høringsnotatet, men vi mener fortsatt at lovforslaget som legges til grunn for opprettelsen av individregistrene er mangelfullt.

Konsekvensen av manglene er at Stortinget ikke i tilstrekkelig grad blir satt i stand til å gjennomføre avveiningen mellom de reelle fordelene og ulempene de foreslåtte individregistrene over alle barn i barnehager og grunnopplæring medfører. Som vi tidligere har kommentert, utfordrer dette tilliten til offentlige myndigheter, og grunnleggende demokratiske verdier.

Datatilsynet og Utdanningsforbundet håper derfor Stortingets politikere ikke lar seg avlede av lettvint retorikk, og fordreining av hva dette egentlig handler om. For oss er det viktig å presisere at det ikke er snakk om små, tilforlatelige endringer av barnehageloven, opplæringsloven og privatskoleloven. Det dreier seg om opprettelsen av store, inngripende individregistre som rent faktisk utfordrer både det grunnlovfestede vernet av barns personlige integritet og personvernet som demokratisk samfunnsverdi.

Den 30. januar kom det danske datatilsynet med en oppsiktsvekkende avgjørelse om bruk av Google Chromebook og Workspace for education i skolen. Avgjørelsen konkluderer med at behandlingen av personopplysninger i enkelte deler av tjenestene er ulovlig, da det ikke finnes et rettslig grunnlag i personvernforordningen og nasjonal rett.

53 danske kommuner fikk derfor et påbud om å sørge for at alle personopplysningene som behandles i Google-tjenestene har et tilstrekkelig rettslig grunnlag.

Vedtaket tydeliggjør rammene for hva som er en lovlig bruk av personopplysninger i skolen, etter det danske lovverket. Avgjørelsen drøfter imidlertid problemstillinger som også har relevans for norske kommuners bruk av digitale læringsverktøy i skoleopplæringen. Vi mener at vurderingene av lovlighet, rettslig grunnlag og formålsbegrensning er gode. Dette kan vi bygge videre på i vårt arbeid i Norge. Som avgjørelsen understreker, etterlyser også vi i Norge en sterkere sentral styring av personvernarbeidet i skolesektoren. Viktige spørsmål om hvor omfattende innsamling av personopplysninger vi skal tillate i skolen, og til hvilke formål personopplysningene kan brukes til, må opp på den politiske agendaen.  

Digital omvelting i skolen

I Norge har det, som i Danmark, skjedd en digital omvelting av skoleundervisningen. På under ti år har nesten alle norske elever fått hver sin digitale enhet, og vi erfarer at stadig flere skoler velger å ta i bruk skyløsninger. Det er opp til hver enkelt kommune å sørge for at personvernregelverket blir ivaretatt ved innføring og bruk av digitale læreverktøy. Dette forutsetter blant annet at kommunen har kontroll på ansvarsforholdene mellom kommune og leverandør, hvilke personopplysninger som behandles i tjenestene, og at uvedkommende ikke får tilgang til personopplysningene. Dette er en krevende jobb. Kommunene blir ofte presentert for omfattende avtalevilkår, som forutsetter inngående kompetanse innenfor informasjonssikkerhet og personvern. I tillegg, er det vanskelig for hver enkelt kommune å stille krav til store markedsaktører som Google, Microsoft eller Apple. Vi mener at etableringen av en helhetlig og offensiv statlig personvernpolitikk i skolesektoren, som anbefalt i Personvernkommisjonens rapport, vil løse noen av disse utfordringene.

Bakgrunn for den danske Chromebook-saken

Allerede i 2022 nedla det danske datatilsynet et forbud mot bruk av Googles skoleverktøy i Helsingør kommune. Tilsynet mente at personvernregelverket ikke var fulgt på en rekke punkter, deriblant manglende risikovurderinger, utilstrekkelig dokumentasjon av dataflyten i tjenesten, og overføring av personopplysninger til tredjeland, uten et tilstrekkelig overføringsgrunnlag.

Disse vurderingene ble fulgt opp i et større tilsyn, som resulterte i et pålegg til 53 danske kommuner i januar.

Hva handler den danske Chromebook-avgjørelsen om?

Det danske datatilsynet gjennomførte en omfattende kartlegging av ansvarsfordelingen mellom Google og kommunene, og formålene personopplysningene behandles for i tjenestene.

Avgjørelsen konkluderer med at kommunene ikke har tilstrekkelig klar lovhjemmel i folkeskoleloven (tilsvarende norsk opplæringslov) for behandling av elevdata til Googles «egne formål». Dette henviser til Googles bruk av elevenes metadata til vedlikehold og forbedring av Googles generelle tjenester, utvikling av nye funksjoner i tjenestene og måling av yteevne. Avgjørelsen understreker at en slik behandling er et pågående lovbrudd, frem til det skjer en lovendring, eventuelt at Google stopper en slik behandling.

Hva skjer i Norge nå?

Vi har fulgt arbeidet til det danske datatilsynet tett, og mener at flere av vurderingene har overføringsverdi til Norge. Vi anser dette som en viktig avgjørelse, både fordi barn er gitt et særlig vern etter forordningen, og som følge av den omfattende innsamlingen av personopplysninger som skjer i skolen i dag. Det gjenstår likevel å vurdere om bruk av opplæringslova som hjemmelsgrunnlag kan føre til det samme resultatet som i Danmark.

Allerede i 2020 ga vi irettesettelser til tre kommuner for bruk av Google Chromebook. Begrunnelsen var at kommunene ikke hadde tilstrekkelig behandlingsprotokoll, foresatte hadde ikke fått god nok informasjon, og det var heller ikke gjennomført tilstrekkelige risikovurderinger. Et behov for mer veiledning til kommunene førte til opprettelsen av informasjonssiden «Bruk av Google Chromebook og G Suite for Education (og andre skytjenester) i grunnskolen» på Datatilsynets nettsider. Denne har til hensikt å bistå kommunene i etterlevelse av kravene til rettslig grunnlag, informasjon, behandlingsprotokoll og vurdering av personvernkonsekvenser (DPIA).

Etterlyser sterkere sentral styring

EUs forordning om digitale tjenester, Digital Service Act (DSA), er nå til vurdering i EØS/EFTA-landene, før den skal implementeres i norsk rett. DSA sikter mot mer åpne, gjennomsiktige og pålitelige digitale plattformer. Nasjonale tilsynsmyndigheter skal etter DSA ha krav på større innsyn i hvordan selskapene bak de internettbaserte plattformene opererer og hvordan de behandler data. Reguleringen vil også inneholde et forbud mot atferdsbasert markedsføring rettet mot barn. Dette mener vi er et skritt i riktig retning.

Det pågår dessuten et viktig samarbeidsprosjekt mellom regjeringen og KS i etablering av en nasjonal støttetjeneste for personvern og universell utforming. Dette skal være et verktøy som skal bistå barnehage- og skoleeiere i vurderingen av digitale læremidler. KS og Bergen kommune har også satt i gang et prosjekt for å gjennomføre og teste ut en nasjonal vurdering av personvernkonsekvenser (DPIA) for Googles tjenester i skolen. Disse verktøyene skal gjøre det lettere for kommunene å anskaffe digitale læremidler som oppfyller personvernregelverket.

Disse initiativene bidrar til en sterkere sentral styring av personvernarbeidet i skolen, som vil komme både kommunene og elevene til gode. Datatilsynet etterlyser samtidig en bred politisk debatt om personvernet i dagens skole. Det er til syvende og sist vi, som samfunn, som bestemmer hvilket omfang, og til hvilke formål, personopplysningene behandles.

Interessert i skole og personvern?

Kolleger har tidligere blogget om dette temaet, se for eksempel:

• En reklamefri skole uten sporing skulle vel bare mangle? (Line Coll, direktør i Datatilsynet)
• Nå er det tid for personvern i skolen (Line Coll, direktør i Datatilsynet)
• Personvern i skolen er under press (Janne Stang Dahl, kommunikasjonsdirektør i Datatilsynet)

Generativ AI: Trussel eller mulighet?

Mange av dataene som brukes til å trene opp Generativ AI, inneholder personopplysninger. Disse opplysningene er hentet inn fra ulike kilder på internett. Teknologien kan gi tilsynelatende gode svar, men også gi villedende og feil svar. Generativ AI er i stand til å skape realistiske bilder, videoer, og tekster, noe som gjør det enda enklere å produsere og spre desinformasjon og falske nyheter, noe som har blitt en utfordring for demokratier og samfunn over hele verden. 

Dette er tema for det første arrangementet som vi deltar på i år, og er i regi av Mediaklyngen/Media City Bergen.

Personvern er politikk

Spørsmål om personvern berører alle samfunnsområder. Personvernkommisjonens rapport fra sist høst ble fulgt opp i år med mange høringsuttalelser. Vi var ikke snauere enn at vi leverte fra oss et 16 siders høringssvar med tiltak som vi mener at det er avgjørende å følge opp. Vi er som kommisjonen tydelige på at vi trenger en nasjonal personvernpolitikk. Nå.

Datatilsynet starter derfor uka med sterk tilstedeværelse på KiNS sitt arrangement Nasjonal personvernpolitikk – Hvorfor det og hvordan? Line Coll debuterer under Arendalsuka i år som direktør for Datatilsynet, og er med på å diskutere hvordan vi kan løfte fram en nasjonal personvernpolitikk.

Etter vårt syn er det mye moden frukt å plukke fra Personvernkommisjonens rapport. En av de mest overmodne, er oppfølgingen av personvernet i skole og barnehager. Seksjonsleder Camilla Nervik gir gode råd til aktiv handling når Strategi for digital kompetanse og infrastruktur i barnehage og skole skal følges opp på Arendalsuka under programposten Personvern i oppvekstsektoren, også i regi av KiNS.

Hvis du ikke klarer å vente helt til midten av august, kan du lytte til én av våre podkast-episoder som diskuterer nettopp skole og personvernpolitikk. Episoden er for øvrig del av en podkastserie under tilsynets podkastsatsing «Personvernpodden» som følger opp personvernkommisjonens rapport. Der du hører podkast. 

Digitalisering av offentlig og privat sektor. Igjen.

Regjeringen skal meisle ut en ny digitaliseringsstrategi. Strategien skal «stake ut kursen for videre digitalisering av offentlig sektor, legge bedre til rette for næringslivsrettet digitalisering og ta opp viktige samfunnsspørsmål.» Personvern er et soleklart viktig samfunnsspørsmål i så måte. Personvernkommisjonen peker på at utvikling av ny teknologi skjer raskt og uten at vi alltid har full oversikt over konsekvensene. Inngripende teknologi blir fort normalisert og allment akseptert, og personvernet svekkes gradvis. Dette er problemstillinger som må inn i strategien, og som må diskuteres i den offentlige samtalen.

Avdelingsdirektør Veronica Jarnskjold Buer stiller til debatt under vignetten Er regelverk for bruk av data i ferd med å kvele digitaliseringen av Norge?

Skal barnas fritid legges ut på nettet?

Vårt eget hovedarrangement i år tematiserer én av vårens store debatter, nemlig strømming av barneidrett. De siste årene har stadig flere arrangementer for barn blitt filmet og lagt ut på nettet, en utvikling som skjøt fart under koronapandemien. Slik praksis kan være til nytte og til glede for mange, men det er også flere som melder sine bekymringer for at stadig flere idrettsarrangementer filmes og publiseres. Ivaretar vi barns rett til personvern hvis også fritidsaktiviteter filmes og gjøres tilgjengelig for allmenheten? Vi har nylig publisert veilederen  Strømming av idrettsarrangement for barn som aktualiserer ulike spørsmål.

I panelsamtalen En uforglemmelig barndom eller en barndom du helst vil glemme? En debatt om strømming av barneidrett belyses spørsmålet fra ulike aktører som har vært sentrale i den offentlige debatten. Vi gleder oss.

Kunstig intelligens i forvaltningen – et spørsmål om tillit

På torsdag plukker vi igjen opp digitaliseringsstrategien, og er med i debatten Hva skjer med tilliten til staten, hvis vi lar kunstig intelligens fatte beslutninger i saksbehandling? Arkivverket spør klokelig «hvem har ansvaret for konsekvensene av en beslutning som er truffet av kunstig intelligens? Et bredt panel skal forsøke å svare, og vår egen direktør deltar.

Skal politiet få lete i din slekt?

Og til slutt: Vi vet alle at DNA sier svært mye om oss, og kan løse mange saker. I et prøveprosjekt har Politiet nå prøvd ut nye verktøy, slik som søk i internasjonale slektskapsdatabaser i kombinasjon med slektsforskning. Men bør virkelig Politiet ta i bruk de nye DNA-metodene når prosjektet er klart? Og hvilke begrensninger bør man eventuelt sette inn hvis politiet skal få lete i din slekt?

Camilla Nervik deltar i debatten DNA løser gamle krimsaker – skal politiet få lete i din slekt?, sammen med både Kripos og en kjent krimforfatter. Det blir spennende!

God Arendalsuke til alle, og husk at du kan følge med digitalt på mange av arrangementene så å si hvor enn du er i verden.

Se ellers vår oversikt over arrangementer som Datatilsynet deltar på eller les mer på Arendalsuka sine nettsider.

Denne teksten er utdrag fra et foredrag jeg holdt under Lovkonferansen i juni 2023.

Norge er et av verdens mest digitaliserte samfunn. Det er positivt og viktig for utviklingen av Norge. Digitalisering gjør oss for eksempel i stand til å løse samfunnsoppdrag innen helse og omsorg i en situasjon hvor varme hender vil være mangelvare.

Men digitalisering skjer ofte på bekostning av retten til en privatsfære og et personopplysningsvern.

Det slo også Personvernkommisjonen fast i sin rapport – hvor nettopp dette var ett av hovedfunnene. Omtrent 5 år etter GDPR trådte i kraft, har vi altså en utvikling hvor vi har et svekket personvern sammenlignet med tidligere tider som følge av digitaliseringen av samfunnet.

En gradvis svekkelse av personvernet

Byggesteinene i den datadrevne økonomien er i stor grad personopplysninger. Dagens digitale samfunn åpner opp for enorme muligheter, men også noen farer.

Personvernkommisjonen peker i sin rapport på at utvikling og innføring av ny teknologi skjer raskt og uten at vi alltid har full oversikt over konsekvensene. Kontroversiell og inngripende teknologi blir fort normalisert og allment akseptert. Dette medfører en gradvis svekkelse av personvernet. En slik svekkelse kan være vanskelig å få øye på før det er for sent å motvirke de negative effektene.

Hvorvidt vi makter å treffe den riktige balansen mellom mulighetene ved digitalisering og ulempene i form av tilsidesatte grunnleggende rettigheter og samfunnsverdier, vil bli avgjørende for hvilket samfunn vi skaper sammen.

En åpen, opplyst samtale og politisk fokus og effektive rettssikkerhetsmekanismer er grunnleggende for å motvirke den negative utviklingen med at personvernet settes til side.

Avveininger hele veien

Hvilke mekanismer har vi som samfunn til å ivareta personvernet og løpende finne den riktige avveiningen mellom digitalisering og innovasjon, utvikling, og ivaretagelse av våre grunnleggende rettigheter?

Her er det fristende å trekke frem flere mekanismer eller virkemidler:

• En åpen, opplyst samtale om denne avveiningen og denne utviklingen er ett virkemiddel
• Personvernpolitikk er et annet – dersom Stortinget fikk en rapport om personvernets stilling hvert år
• Et sterkt og tydelig tilsynsorgan er jo også et virkemiddel i seg selv
• Og til sist – dagens tema – selve lovgivningsprosessen vi har i Norge i dag.

Lovgivningsprosessen som demokratisk verdi

Lovgivningsprosessen starter på litt ulike måter, og ender opp med at departementet skriver forslaget til en lov.  Så blir dette forslaget sendt på høring.

Denne delen av lovgivningsprosessen har stor demokratisk verdi. Det er en grunnsten i vårt system at lovforslag og endringer skal høres i en demokratisk prosess.

Datatilsynet har imidlertid erfart at en slik høring ikke alltid er tilstrekkelig og eller gir de nødvendige rettssikkerhetsgarantiene som vi trenger.

Vi har for eksempel sett at lovforslag som hjemler store inngrep i borgernes personvern ofte ikke er utredet godt nok til at Stortinget blir kjent med konsekvensene av lovene de vedtar.

Uten en oversikt over personvernkonsekvensene av et lovforslag, er det svært vanskelig for Stortinget å sørge for at innbyggernes personvern er ivaretatt.

Stortinget settes som en følge av dette ikke i stand til å gjøre godt informerte verdivalg. Utfordringen kan deles opp i følgende punkter, som utdypes nedenfor:

• Mangelfull og nærmest fraværende forhåndsutredning av personvernkonsekvenser (som er pålagt etter GDPR artikkel 35 og 36)
• Høringsnotater kommer ofte sent, og inneholder mangelfull og krevende beskrivelse av hvordan lovforslag påvirker personvernet
• Mangelfull oppfølging av høringssvar
• Fullmaktslovgivning som en trussel mot personvernet i dagens samfunn

Mangelfull og nærmest fraværende forhåndsutredning av personvernkonsekvenser.

Etter personvernforordningen artikkel 36 nr. 4 skal medlemsstatene rådføre seg med tilsynsmyndigheten på personvernområdet ved utarbeidelse av forslag til lovgivning, eller et reguleringstiltak som er knyttet til behandling av personopplysninger. Sett i sammenheng med artikkel 36 for øvrig, vil rådføringen trolig kun være nødvendig i tilfeller hvor behandlingen medfører høy risiko for de registrertes rettigheter og friheter.

Det følger altså av personvernforordningen en særskilt rådføringsplikt når det er snakk om behandling av personopplysninger som innebærer høy risiko for rettigheter og friheter.

Mange av dagens lovprosesser omfattes trolig av dette kriteriet.

Datatilsynet har fått svært få slike henvendelser om rådføring i forbindelse med lovgivningsarbeidet etter 2018. Det er heller ikke satt i noe godt system at slike konsekvenser skal utredes på forhånd og at rådføring skal gjennomføres, så vidt vi erfarer.

Personvernkommisjonen peker på at den rådføringsplikten som følger av personvernforordningen ikke kan anses som oppfylt ved at Datatilsynet er høringsinstans i forbindelse med en ordinær offentlig høringsprosess.

Plikten til rådføring med tilsynsmyndigheten under et regelverksarbeid kan altså, verken tematisk eller prosessuelt, likestilles med offentlig høring av et lov- eller forskriftsforslag.

Det at vi ikke får slike henvendelser, indikerer etter vår oppfatning en klar svakhet ved dagens lovgivningsprosess.

Høringsnotater kommer ofte sent

Det er også ofte for sen, mangelfull og krevende beskrivelse av hvordan lovforslag påvirker personvernet i samfunnet i høringsnotater.

Stortingets mulighet til å gjøre avveininger mellom ulike samfunnshensyn, herunder personvern, er betinget av at de ulike hensynene er godt beskrevet og synliggjort.

Vurderingen av om et inngrep i personvernet skal vedtas må baseres på en fremstilling – i for eksempel høringsnotatet – av blant annet formålet med lovforslaget og hvilke konsekvenser behandlingen av personopplysninger medfører.  

Vår erfaring er at det også her gjøres for lite for å kartlegge og beskrive konsekvensene av en lov eller forskrift, i forhold til hvilke konsekvenser den får for personvernet i samfunnet.

Det er også en observasjon fra vår side måten inngrepene og konsekvensene beskrives på, er med på å undergrave den totale effekten av tiltakene man ønsker lovregulert. Man beskriver for eksempel ett og ett punkt, og svarer ut fortløpende med beskrivelse av avhjelpende tiltak. Som en følge av denne måten å fremstille lovforslaget og effektene på, blir det vanskeligere for Stortinget og andre å få med seg det totale og komplette bildet.

Dette er etter vår mening en klar svakhet ved hvordan høringer i dag gjennomføres, og som i seg selv innebærer en risiko for tilsidesettelse av personvernet.

Mangelfull oppfølging av høringssvar

Det er ofte ikke så lett å se resultatene av høringsinnspill som er gitt. Selv om vi roper varsku med utestemme og blokkbokstaver, så skjer det ikke alltid noe. 

I 2021 besvarte Datatilsynet 49 av totalt 151 høringer som gjaldt offentlige myndigheters behandling av personopplysninger og som hadde betydning for personvernet.  Av disse mente vi at utredningen av personvernkonsekvenser var mangelfull eller fraværende i 30 av tilfellene, altså 60 %. Hvordan våre høringsinnspill ble imøtekommet, er det krevende å få en oversikt over.

Fullmaktslovgivning som en trussel mot personvernet

Det er ikke mangler ved høringsinstituttet som er utfordringen – men snarere valg av lovsform.

Rammene for behandling av personopplysninger settes ofte i forbindelse med vedtakelse av lover som inneholder generelt utformede bestemmelser med forskriftshjemmel.

I slike tilfeller fastsettes kun de helt ytre rammene – hvis rammene fastsettes i det hele tatt – for tiltaket i loven, mens detaljene skal reguleres nærmere i forskrift. Dette i motsetning til tilfellene der inngrepet i personvernet fremgår klart av selve loven idet den vedtas.

Bruken av fullmaktslovgivning, hvor vurderingen (og gjennomføringen) av selve inngrepet i personvernet blir lagt til underliggende etater eller virksomheter, er en risiko i seg selv.

Vi ser altså slik fullmaktslovgivning som en klar trussel mot personvernet i dagens samfunn.

Våre erfaringer er at makten til å gjøre store inngrep i innbyggernes fundamentale rettigheter, flyttes fra de folkevalgte til forvaltningen.

Et illustrerende eksempel på dette er vedtaket vi nylig fattet i saken mot SSB, hvor de ønsket å innhente bongdata fra dagligvarebransjen med hjemmel i et enkeltvedtak fattet av dem selv.

Personvernkonsekvensene må frem

De forholdene jeg har fremhevet, innebærer en risiko for at det åpnes for uforholdsmessig store inngrep i personvernet uten at Stortinget er gjort tilstrekkelig oppmerksom på det og at helt sentrale rettssikkerhetsgarantier forvitrer.

Snarere er det regelen heller enn unntaket at personvernkonsekvensene som de folkevalgte skal vurdere er dårlige, mangelfulle og ofte feilaktig fremstilt.

Disse svakhetene ved lovgivningsprosessen settes enda mer på spissen når vi ser dette opp mot den digitale utviklingen- og revolusjonen vi står i nå.

Hvordan skal lovgiver og ansvarlige myndigheter kunne ta stilling til og ta ansvar for bruken av for eksempel kunstig intelligens satt opp mot personvern og andre grunnleggende rettigheter i samfunnet, når prosessene ikke tar høyde for både informasjonsbehovet og et tydelig og klart språk?

Det er viktig å anerkjenne utfordringene vi står ovenfor.

Les Datatilsynets rapport om kunstig intelligens og personvern.

Det betyr ikke at utfallet ikke er riktig. Tvert imot er et viktig argument for å ta i bruk slik teknologi, at vi kan finne sammenhenger og ta avgjørelser som er riktigere enn tidligere. Vi kan stå på skuldrene til datakjemper og ideelt sett motvirke forskjellsbehandling og diskriminering.

Svart boks, mørkt for personvernet

Like fullt, svart boks-problematikk er åpenbart svært utfordrende for personvernet. Å forklare hvordan personopplysninger brukes, er et sentralt prinsipp og en forutsetning for å avdekke og korrigere feil og motvirke diskriminering. Kan vi da leve med at kunstig intelligens får en sentral rolle i prosesser og avgjørelser, som er viktige for oss og livet vårt, uten at vi får en forklaring på hvorfor resultatet ble som det ble? Neppe. Samtidig kan det argumenteres for at informasjon om en modells virkemåte kan avsløre forretningshemmeligheter, noe som også vil være problematisk. Så om vi klarer å åpne den svarte boksen, hvor mye av innholdet i den skal og bør løftes ut i lyset? Hvem er det som trenger å forstå? Og hvor godt må vi forstå det?

Mengdetrening i vurdering

Datatilsynets KI-sandkasse er til nettopp for å få mengdetrening i slike vurderinger. Det første prosjektet som kommer ut av sandkassa etter et halvår med juridiske, teknologiske og tidvis filosofiske vurderinger, er fra NAV. De vil bruke KI for å predikere den videre lengden på sykefraværet, når sykmeldingen har passert fire måneder. NAVs modell er et beslutningsstøttesystem. Det betyr at modellen ikke automatisk avgjør hvem som trenger oppfølging og ikke, men at NAV-veilederne som møter den sykmeldte får en anbefaling fra modellen. Selve avgjørelsen tas altså av et menneske. Men maskinen har kommet med en prediksjon om hvor lenge vedkommende vil være sykmeldt, basert på historiske data. En slik anbefaling fra en maskinlæringsmodell vil nok fort oppleves som vanskelig å overprøve.

Kunsten å designe passe intelligent KI

På den annen side er jo hele poenget med å innføre et slikt system, at anbefalingene skal være så gode at de reduserer de tilfeldige variasjonene blant veilederne og fører til mer enhetlig praksis, i tillegg til å redusere kostnader. Siktemålet er med andre ord at veilederne ikke skal lene seg for mye eller for lite på anbefalingen, men at bakgrunnen for avgjørelsen skal være trygg.

Heldigvis er det ikke nødvendigvis like bekmørkt inne i alle de svarte boksene. NAV-modellens prediksjon kommer med en forklaring av hvilke data som har påvirket utfallet i den ene og andre retningen. Og i tillegg vet man jo hvilke data modellen har blitt foret med.

At veilederne får god opplæring og instrukser i hvordan algoritmen fungerer og skal brukes, samt en meningsfull forklaring i enkelttilfeller, er viktig for å redusere risikoen for en «snikautomatisering». Det vil også forhindre at modellens prediksjon ikke tas med i vurderingen i det hele tatt. Jo bedre veilederne forstår modellens oppbygning, virkemåte og oppførsel, jo enklere vil det være for en veileder å vurdere prediksjonen på et selvstendig og trygt grunnlag. Uavhengig av om den endelige avgjørelsen blir å følge prediksjonens anbefaling eller ikke.

Les sluttrapporten fra dette sandkasseprosjektet.

Denne teksten ble først publisert på kommunikasjonsforeningens nettsider 23.09.2021.

Jeg kaster her ut et kjøttfullt ben som jeg håper kan bidra til å øke bevisstheten og skape debatt om det offentliges bruk av sosiale medier.

Bindinger til big tech er regelen snarere enn unntaket. Ved å bruke gratis tilgjengelige verktøy fra de store teknologiselskapene, inviterer offentlige virksomheter kommersielle aktører til å samle inn og bruke data om norske innbyggere. Samtidig skapes det et avhengighetsforhold som det kan bli vanskelig å fri seg fra, ettersom det finnes få alternative tjenestetilbydere.

Vi må passe på at det samme ikke skjer med retorikken: at offentlig sektor blir for avhengig av argumenter som forsvarer deres tilstedeværelse på Facebook, Twitter, LinkedIn og co, samtidig som de unnlater å reflektere over egen tilstedeværelse i kanalene og tenke alternativt. Hardt arbeid og tøffe beslutninger ligger forut. Det er først når man forsøker å fri seg fra lenker, man kjenner hvor krevende det kan være.

Tyskland går foran

Det offentlige myndigheter gjør, har en signaleffekt. Datatilsynet befinner seg i en merkelig situasjon. Som en moderne virksomhet digitaliserer og effektiviserer vi oss i takt med samfunnet. Samtidig skal vi være garantist og fremste beskytter av personvernet i Norge. Dermed står Datatilsynet i en snodig skvis i spørsmålet om vi bør bruke sosiale medier i vårt eget kommunikasjonsarbeid. Et par tilfeller fra våre kolleger i Tyskland er interessante.

I januar 2020 valgte en av de tyske datatilsynsmyndighetene å slette sin konto på Twitter. To EU-dommer, og personvernregelverkets krav til å avklare såkalt felles behandlingsansvar, var blant årsakene. Tilsynet konkluderte med at de ikke lenger var på trygg, juridisk grunn. Samtidig kom de med noen minstekrav overfor andre offentlige myndigheter som benytter sosiale medier i delstaten. I dag sverger vårt tyske søstertilsyn selv til den desentraliserte mikrobloggingstjenesten Mastadon når de kommuniserer med sine innbyggere.

Regelverket (GDPR) og rettspraksisen som avgjørelsen hviler på, vil være både direkte og indirekte bindende for Norge. EU-dommene Wirtschaftsakademie og Fashion ID fastslår at den som oppretter en Facebook-side, vil være felles ansvarlig med Facebook for behandlinger av personopplysninger på siden.

Da dommene falt, var vi i Datatilsynet selv allerede i dypt inne i vurderinger om egen bruk av sosiale medier.

Må ha orden i eget hus

Bruk av sosiale medier reiser flere viktige tekniske, juridiske og etiske spørsmål. Et knapt år etter at GDPR trådte i kraft, satte vi selv i gang med et ambisiøst prosjekt som bidrar til å belyse disse spørsmålene. Mandatet fra ledelsen var ikke å vurdere om vi skal gå ut av Twitter. Vi skulle vurdere å gå inn på Facebook.

Med innføringen av personvernforordningen, eller GDPR, i 2018, har vi fått et strengt og teknologinøytralt regelverk som plasserer plikter og ansvar på alle som behandler personopplysninger. Regelverket stiller krav til alle som behandler personopplysninger, og til formidlingen av rettigheter og informasjon om behandlingen. Forordningen handler i bunn og grunn om å ha orden i eget hus.

Et viktig verktøy for å sikre at personvernet til brukerne som er registrert i en løsning ivaretas, er å gjennomføre risikovurderinger og vurdering av personvernkonsekvenser. Det er dette verktøyet Datatilsynet nå har brukt i vurderingen av Facebook, og som har munnet ut i en ny rapport.

Legitimerer overvåkingsøkonomien

Vår vurdering er på mange måter et bidrag til en analyse av overvåkingsøkonomien. Kommunikasjon i sosiale medier vil av natur alltid inneholde personopplysninger. De store teknologigigantene går ut av sin vei for å gjøre det enklest mulig å kommunisere på plattformene deres. Tilsynelatende triviell kommunikasjon medfører ofte en omfattende behandling av personopplysninger. Jeg mener at et av de mest innsiktsfulle perspektivene å forstå disse plattformene på, er fra et personvernperspektiv.

Det er lettere å ta stilling til teknologi når vi forstår den bedre. Hva slags opplysninger samles inn fra Facebook-siden? Hvor lenge vil opplysningene lagres i Facebook-systemet? Hva er behandlingens geografiske omfang? I en teknisk kartlegging gjorde vi rede for behandlingens art, omfang, formål, sammenheng, kilder og mottakere, samt løsningens informasjonssikkerhet.

Kartleggingen «tvinger» en til å beskrive og ta stilling til en rekke forhold ved en databehandling som påvirker den enkeltes personvern, rettigheter og friheter. Ved å kommunisere gjennom en side på plattformen, bidrar vi til å opprettholde og legitimere denne økonomien.

Nye regler skulle skape endring

De store teknologiplattformene har lenge vært et vanskelig juridisk terreng. De setter standarden selv: «Godta vilkårene våre i sin helhet, eller la være å bruke tjenesten». De fleste tar ikke stilling til nye personvernerklæringer når det kommer oppdateringer, og har kanskje heller ikke sett på den gamle. Facebook kan når som helst endre sine vilkår.

GDPR ble innført for å endre. Hvor lenge kan vi akseptere denne rollefordelingen?

La oss se på enda et tilfelle fra Tyskland. Før sommeren gikk det føderale datatilsynet (BFDI) ut og gav offentlige myndigheter beskjed om å slette Facebook-sidene sine innen nyttår. Dette blant annet som følge av Schrems II-dommen spesielt og mangel på etterlevelse av EUs personvernlovgivning generelt. Offentlige myndigheter skal gå foran som et godt eksempel, sier de.

Et spørsmål om verdier

Bruk av sosiale medier gjør at ulike verdier kommer i konflikt med hverandre. Personvern må ofte balanseres mot interesser av vidt ulik karakter. Datatilsynet har, som resten av offentlig sektor, et viktig informasjons- og kommunikasjonsbehov. Samtidig har vi plikt til å informere om et stort og komplisert regelverk. Vi er ombud for én av de viktigste verdiene i et informasjonssamfunn.

Den enkelte står fritt til å bruke sosiale medier og ta stilling til personvern etter eget skjønn. Som offentlig aktør og rollemodell for personvernet, må vi i Datatilsynet ta mer allmenne hensyn og oppfylle våre plikter. Som tilsynsmyndighet følges vi med argusøyne når det gjelder loven vi selv håndhever. I vårt interne hierarki av verdier, er det selvsagt at personvernet troner øverst. Det går på bekostning av for eksempel Google Analytics, Youtube – og nå Facebook.   

Vårt tyske søstertilsyn hoppet over til plattformen Mastadon. Kanskje en emigrering til alternative kommunikasjonsverktøy er den eneste måten vi kan tilbakevise argumentet om at myndighetene må være der folket er? Jeg skulle ønske jeg kunne vise til et mer attraktivt alternativ.

Det kan være vanskelig å navigere i de mange hundre arrangementene som går av stabelen, mange i parallell, derfor denne guiden til Arendalsuka. Det er viktig å velge riktig, og det å velge riktig i denne sammenhengen er selvsagt å stalke oss i Datatilsynet under uken i august. Men vær obs, denne bloggen kommer med en advarsel: Ting endrer seg fort, nye deltagere kan komme til, innretningen på debattene kan endres og nye kan komme til. Sjekk gjerne linkene under hver programpost for siste, oppdaterte informasjon.

Mandag 16. august: Digitalt demokrati: Smittefritt, men er det for alle?

Data påvirker og data flytter makt, data kan bidra til å avgjøre valg og stenge folk ute fra viktige plattformer. Men har åpenheten en pris, og er den for alle? Denne debatten er den første vi deltar i på årets Arendalsuke, og beskrives slik av arrangøren:

Digitaliseringen har vært avgjørende for å holde Norge i gang under koronapandemien, men med på lasset får vi Facebook-annonser, hacking og konspirasjoner. Pandemien gjør at husbesøk og folkemøter i valgkampen erstattes av innlegg på sosiale medier og samlinger på Teams. Bystyremøter strømmes på Facebook, og innbyggerne kan gi tilbakemeldinger i kommentarfeltet. Men klarer vi å nå alle på de nye arenaene?

Jeg deltar sammen med blant annet direktør Tore Tennøe i Teknologirådet.

Tid: 16.08, kl. 14.00-15.00 | Sted: Demokrativerkstedet i Arendal |Arrangør: Sopra Steria

Lenke til arrangement: https://arendalsuka.no/event/user-view/16611

Tirsdag 17. august: Personvernet slår tilbake

Personvernet er under stadig press, både fra kommersielle aktører og offentlige etater. Nå er tiden inne til å diskutere personvernets kår, og om vi nå endelig går inn i personvernets tidsalder. 

Bakgrunnen for denne diskusjonen er blant annet viktige avgjørelser mot de store teknologiselskapene, søksmål mot Facebook etter oppkjøpet av WhatsApp, viktige dommer fra EMD og EU-domstolen knyttet til overvåkning og Schrems-dommen, som har sendt personvern-sjokkbølger gjennom Europa og USA. I Norge har vi varslet et gebyr på 100 mill. til Grindr.

Arrangementets første panel består av Adele Matheson (NIM), Karsten Friis (NUPI) og undertegnede, og tar for seg den statlige overvåkingen i samfunnet. Det andre panelet tar for seg den kommersielle overvåkingen, og består av Ingrid Lise Blyverket (Forbrukerrådet), Vivi Rignes Wilhelmsen (Forsvarets Høyskole). Jeg deltar også i dette panelet. Moderator for arrangementet er Martin Gundersen i NRKBeta. 

Tid: 17. august kl. 8.00-9.00 | Sted: Samfunnsteltet – jubileumsscene | Arrangør: Datatilsynet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15452

Tirsdag 17. august: Digitalisering i skolen – har vi glemt personvernet?

Personvern i skolen har vært et viktig tema for Datatilsynet i mange år. Nå har Bouvet gjennomført en undersøkelse om personvernets kår i skolesektoren. De beskrives arrangementet slik:

Skolen har blitt kræsj-digitalisert under koronaen. Det svømmer over av nye digitale læringsverktøy og mange skoler har utvist en fantastisk kreativitet. Samtidig er Bouvet bekymret for personvernet til lærere og barn. Derfor har vi gjort en omfattende undersøkelse om status på personvern i skolen. På bakgrunn av undersøkelsen tar vi debatten om konsekvensene av kræsj-digitaliseringen av skolen.

• Er det på tide å dra i bremsen for å sikre at ikke personopplysninger om elever blir misbrukt, eller er det noen skoler som er for strenge i møte med nye apper og digitale tjenester? 
• Må lærerutdanning, skoleforvaltningen og metodefriheten i skolen endres som en konsekvens av digitaliseringen?

Blant deltagerne finner vi Simen Sommerfeldt, teknologidirektør i Bouvet, Tonje Brenna, Stortingsrepresentant fra Arbeiderpartiet og Steffen Handal, leder i Utdanningsforbundet. Jeg deltar fra Datatilsynet.

Tid: Tirsdag 17/8 2021 10:00 – 11:00 | Sted: Castelle | Arrangør: Bouvet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15713

Tirsdag 17. august: Maktkamp og samarbeid i kampen mot klimaendringene

Personopplysninger brukes i dag, litt forenklet, til alt. At vi mottar reklame basert på nettaktiviteten vår er gammelt nytt, men tema for denne diskusjonen bringer oss inn på et nytt felt: Hvordan bruke personopplysninger for å bekjempe klimaendringer? Arrangementet beskrives slik:

Hva kjennetegner de ledende selskapene i den grønne omstillingen? Hva er folkets fotavtrykk? Hva tenker forbrukerne om kommunikasjon og markedsføring av bærekraft? Hvordan ivareta personvern når vi spør om dine data for å ivareta miljøvern? Hvilken rolle og virkemidler har kommunene i å motivere innbyggerne til adferdsendring? 

Rolf Jarle Brøske og Jan-Frode Janson fra Sparebank1 SMN, Anne Kathrine Slungård fra Forbrukerrådet, Børge Brende, President i World Economic Forum, Gunelie Winum fra Ducky og flere holder innlegg for å svare på spørsmålene under arrangementet, der jeg deltar fra Datatilsynet

Tid: 17. august kl. 11.15 – 12.00 | Sted: Arendal kino | Arrangør: Sparebank1 SMN

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16693

Tirsdag 17. august: Kunstig intelligens på arbeidsplassen

Kunstig intelligens er på full fart inn i arbeidslivet. Ny teknologi kan gi både økt verdiskaping og nye arbeidsplasser. Samtidig ser vi eksempler på at kunstig intelligens har ført til diskriminering av minoriteter eller blir brukt til å overvåke de ansatte. Hvordan kan kunstig intelligens bli et gode for alle – og ikke oppleves som en trussel? Hvordan legger vi til rette for god utnyttelse av ny teknologi, samtidig som vi ivaretar sosiale konsekvenser? Hvordan kan de ansatte påvirke utviklingen, og hvordan vil EUs nye regulering av kunstig intelligens påvirke arbeidslivet?

Kari Laumann, prosjektleder for vår regulatoriske sandkasse for kunstig intelligens, deltar fra Datatilsynet.

Tid: 17. august kl. 18.00 – 19.00 | Sted: Clarion Hotel Tyriholmen | Arrangør: Negotia, Finansforbundet og NITO

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16206

Onsdag 18. august: Rundebordsamtale om datadeling

Data har stor verdi og data skal deles, bare så det er slått fast nok en gang. Men i en årrekke har vi diskutert hvordan vi skal dele data på lovlig vis, hvilke begrensninger som finnes og hvordan vi kan overkomme disse. Denne debatten beskrives slik:

Data er en ressurs som samfunnet må utnytte bedre. All offentlig oppgaveløsning og tjenesteutvikling innebærer bruk av data. Viderebruk av offentlig informasjon handler om å gi næringsliv, forskere og sivilsamfunn tilgang til åpne data fra offentlig sektor på en måte som gjør at de kan brukes i nye sammenhenger, skape nye tjenester og gi økt verdiskaping for sluttbrukeren. 

Det er mange gevinster å hente på å dele data bedre, særlig innenfor effektivitet, mulighetsrom og brukeropplevelse. Samtidig møter en raskt på utfordringer knyttet til personvern og datasikkerhet. Det er behov for mer kunnskap om hvordan infrastrukturen, både i statlig og kommunal sektor, kan tilrettelegges for deling av data. 

Tata Consultancy Services (TCS), som IT- og teknologiekspert, ønsker å organisere en rundbordssamtale  med aktører engasjert i dette temaet for å diskutere muligheter, hindringer og potensielle løsninger. Med sin unike innsikt i løsninger og teknologi, kan TCS lede en diskusjon rundt dette temaet og hva dette betyr for virksomheter og befolkningen.   

Rundbordssamtalen vil engasjere forkjempere av datadeling, forsvarere av personvern og datasikkerhet, fra offentlig og privat sektor, med lærepunkter fra forskjellige industrier, når det gjelder avansert datadeling. Dette gleder jeg meg til å diskutere.

Tid: 18. august kl 10-11. | Sted: Madam Reiersen | Arrangør: Tata Consultancy Service  

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/16151

Onsdag 18. august: Personvern for barn og unge – hvordan sikrer vi at barna blir hørt?

Arbeidet med å bedre barns personvern har over lang tid vært rettet mot skolesektoren, og det har vært sett på hvordan skolens digitale verktøy for opplæring og kommunikasjon må sikre elevenes personopplysninger.

Tiden er inne for å rette blikket mot de unge selv også. Hvilke verktøy har barn og unge for å få hjelp til å ta gode valg for seg selv? Hva gjør samfunnet for å sikre at barna faktisk blir hørt og de settes i stand til å ivareta sitt eget personvern? 

Barneombud i Barneombudet, Inga Bejer Engh, influenser og samfunnsdebattant Kristin Gjelsvik, og undertegnede tar debatten. Sara Eline Grønvold er moderator. 

Tid: 18. august kl. 15.00 – 16.00 | Sted: Arendal bibliotek | Arrangør: Datatilsynet

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15322

Torsdag 19. august: Raskere og mer treffsikker kreftbehandling – hvordan bruke kunstig intelligens til pasientens beste?

Personvern og helse er et svært sentralt tema. Kanskje er det i denne sektoren persondata kan gjøre mest samfunnsnytte? Samtidig er det ingen sektor som har flere registre og mer sensitive data om oss. Det evige spørsmålet er: Hvordan skal vi balansere disse interessene?

Arrangøren beskrives debatten slik: Krav til pasientforløp og ventetid legger stadig større press på spesialisthelsetjenesten. Behovet for raskere diagnostisering og gode verktøy for å avhjelpe kapasitets- og kvalitetsproblemer øker. Å ta i bruk teknologi som baserer seg på KI avhenger av at det etableres gode og forutsigbare rammebetingelser. Dette vil være særlig viktig innen kreftområdet.

I debatten deltar politikere, helsepersonell, beslutningstagere, forskere og jeg, for å diskutere hvordan kunstig intelligens kan bli en større del av løsningen på noen av helsetjenestens utfordringer fremover. Men, hva må eventuelt endres?

Tid: 19. august kl. 11.00 – 12.00 | Sted: Rederikontoret | Arrangør: Siemens Healthineers

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15873

Torsdag 19. august: Blir vi best? Eller kommer vi i bakleksa? Debatt om kunstig intelligens, innovasjon og personvern

Jeg tror fullt og fast på at personvern og innovasjon kan gå hånd i hånd. Nettopp derfor har vi etablert regulatorisk sandkasse for kunstig intelligens, som så langt har vært en stor suksess.

Samtidig ser vi spenninger internasjonalt. Europa tar lederrollen som den ansvarlige på KI-fronten. Og Norge vil være best av de beste. Men hvordan blir hårete mål og strenge personvernregler fulgt opp når gründere vil gjøre geniale idéer til teknologiske tilskudd på et galopperende KI-marked? Graver vi vår egen KI-grav, eller vil de andre følge i våre fotspor? Hvordan er det for innovatørene i kampen mot globale konkurrenter med langt slappere krav? Regulerer vi oss inn i bakleksa? Eller er det vi som vinner til slutt?

Datatilsynet og DigitalNorway inviterer til diskusjon, som vil gå over to paneler. Til arrangementet kommer blant annet Erlend Andreas Gjære (Secure Practice), Anders Bryhni (Sintef), Ingeborg Frøysnes (IKT-Norge), Kjetil Thorvik Brun (Abelia) og Liv Dingsør (DigitalNorway). Kollega Kari Laumann og jeg deltar fra Datatilsynet.  

Tid: 19. august kl. 12.30 – 14.00 | Sted: Thon Hotel Arendal | Arrangør: Datatilsynet og DigitalNorway

Lenke til arrangement: https://program.arendalsuka.no/event/user-view/15317

Den 9. april fyrer gründer og evolusjonspsykolog Kyrre Wathne av en bredside mot personvernet. Det er befriende med en debattant som tar kritikken av personvernet helt ut, jeg vil si til det absurde. Men det er synd at han oppfatter «de som er opptatt av personvern» som en sær gjeng, isolert fra verden rundt. Personvernets plass i samfunnsdebatten har riktig nok endret seg de siste syv-åtte årene, og med god grunn.

Stor interesse for persondata

Det har vært mange alvorlige hendelser knyttet til personvern og informasjonssikkerhet de siste årene. Her er en kort liste:

• I Bergen kommune ble den hemmelig adressen til en rekke personer eksponert. Det førte til at noen måtte flytte fra hjemmet sitt, og til at en byråd måtte gå av.
• Østre Toten kommune ble hacket, utsatt for utpressing og sensitive personopplysninger er dumpet på det mørke nettet.
• Facebook utleverte persondata til selskapet Cambridge Analytica. Det kan ha bidratt til å påvirke utfallet av valget i USA i 2016, og Brexit i Storbritannia.
• Helse Sør-Øst utkontrakterte driften av datasystemer til Bulgaria. Ni helseforetak fikk til sammen 7,2 millioner i overtredelsesgebyr.
• Det britiske helsevesenet ble slått ut av Wannacry-viruset med enorme menneskelige og økonomiske konsekvenser.

De siste årene har vi behandlet saker der folk har blitt ulovlig kredittvurdert, helsejournaler har ligget åpent på nett, arbeidsgivere har gjort ulovlig innsyn i ansattes epost og mange blir nektet innsyn i egne opplysninger. Stortinget har vedtatt ny e-lov der omfanget av lovgivningen er høyst uklar.

I dag er opplysningen våre av stor interesse, og verdien av data stigende. Data brukes til markedsføring, til å personrette tilbud og tjenester, til kommersiell overvåking og til overvåking på arbeidsplassen. Det offentlige bruker data til en rekke gode, og ofte uangripelige formål, som for eksempel en bedre skoler, et bedre helsevesen, bedre trafikkavvikling og kriminalitetsbekjempelse.  At persondata analyseres og berikes med andre data, er en selvfølge i dagens samfunn.

Kritikk er av det gode, men ikke når det jukses med fakta

Nettopp derfor ble GDPR og ny personopplysningslov vedtatt i 2018, med overveldende flertall i Stortinget. Derfor ble vi, i likhet med datatilsyn i Europa, styrket. Flere undersøkelser viser at kontroll over flyten av personopplysninger bekymrer en stor andel av befolkningen. Personvern opptar styreledere, direktører, politikere, teknologer og advokater. Det skulle bare mangle. «Noen» vet i realiteten alt om oss: Sykdommer, interesser, reisemønster, familieforhold og økonomi. Derfor får brudd på regelverket så alvorlige konsekvenser, og derfor bærer det så galt av sted når Wathne forsøker å fremstille de som snakke høyt om personvern som en gjeng virkelighetsfjerne aktivister.

Wathne kritiserer oss for behandlingen av saken om Smittestopp. Kritikk er av det gode, men ikke når det jukses med fakta. Han hevder at Datatilsynet hadde da også innledningsvis understreket at Smittestopp var fullt forenlig med GDPR. Dette er ikke sant. Da forskriften som regulerte det som skulle bli til Smittestopp ble vedtatt, sa vi at en smitteapp kan, i en krisetid, være et akseptabelt tiltak for å slå tilbake pandemien og redde liv. Det har vi stått fast ved hele tiden. Da selve appen ble lansert, sto det imidlertid klart for oss at vi ikke gjorde jobben vår om vi ikke kontrollerte lovligheten av en app som kunne følge bevegelsene til alle som lastet den ned. Resultatet ble at vi nedla forbud, blant annet fordi den brøt med dataminimeringsprinsippet og formålsprinsippet i personvernforordningen.

Da vi traff beslutningen, skal vi angivelig ha latt oss presse av «det lille, men innflytelsesrike miljøet av personvernaktivister». Fakta er at vi varslet kontroll av Smittestopp samme dag som appen ble lansert. Før det hadde vi gitt innspill til FHI og departementet om hva de burde legge vekt på, men det ble ikke fulgt. Nok en gang jukser Wathne med fakta i sin iver etter å sverte personvernet. Flere av «personvernaktivistene» han refererer til, deltok dessuten i den teknologiske ekspertgruppen Helse- og omsorgsdepartementet opprettet for å kvalitetssjekke appen. Høyt kompetente teknologer har vært rådgivere i utviklingen av den nye versjonen av Smittestopp.

Det å ta lett på personvern kan få alvorlige konsekvenser

Wathne skriver at en velferdsstat knapt kan fungere uten at staten samler enorme mengder med opplysninger om oss, enten det gjelder økonomi, helse eller familieforhold. Han nevner databaser som Altinn, Pasientjournal og Nav, og påstår at de er like sårbare for datalekkasjer som Smittestopp ville vært.

At velferdsstaten ikke kunne fungert uten et godt kunnskapsgrunnlag, samlet inn om oss borgere, er så åpenbart at det knapt trengs imøtegås. Men det å ta lett på personvern kan få alvorlige konsekvenser. Sikkerhetsløsningene i de ulike systemene som nevnes, vet Wathne åpenbart ingenting om, men å sammenligne sikkerheten i det enorme NAV-systemet med løsningen i Smittestopp, blir rett og slett for dumt.

NAV har for øvrig eksponert flere hundre tusen CVer ulovlig. Det viser igjen sårbarheten selv i systemer driftet av store aktører med betydelige ressurser. Nesten morsomt blir det når Wathne gir en sammenligningen av Smittestopp mot andre tjenester: Den statlige tjenesten Yr bruker også posisjonen din, og fra personvernerklæringen deres kan det virke som de lagrer den i 30 dager hos et amerikansk selskap. Er det ikke en forskjell på å lokalisere hvor du er når du sjekker YR, og å spore bevegelser kontinuerlig, samt sende inn helseopplysninger til et sentralt register?

Vi fikk inn 25 søknader til den regulatoriske sandkassen for kunstig intelligens (KI) og personvern. Spennet i søknadene viser det enorme potensialet KI har for å forbedre og effektivisere samfunnet vårt. Samtidig ser vi helt klart et behov for avklaring av hvordan deler av personvernregelverket skal tolkes i praksis.

Topp 5

Lista over tematikk, som søkerne i første runde med Datatilsynets sandkasse ønsker hjelp med, toppes av disse fem:

1. Transparens
2. Dataminimering
3. Rettferdighet
4. Anonymisering/avidentifisering
5. Behandlingsgrunnlag

Tilbakemeldingene vi har fått fra søkerne er at regelverket er der, men hvordan skal vi gjøre det i praksis? Hvor detaljert må forklaringen være? Hvordan kan vi bruke så lite data som mulig (dataminimering), men samtidig få nøyaktige resultater? Hvordan kan vi designe et system som er rettferdig for brukeren og ikke diskriminerer?

Vi er i gang med å velge ut fire prosjekter av de 25 søknadene som vi skal jobbe tett med for å utforske gode personvernløsninger i de ulike løsningene. Målet med sandkassen er å jobbe frem gode personvernløsninger for å vise frem at KI og personvern kan gå hånd i hånd, og gi eksempler på vurderinger og personverntiltak i konkrete prosjekter. Vi håper det kan være til hjelp og inspirasjon for andre virksomheter som benytter personopplysninger og KI.

KI overalt

Kunstig intelligens kan gjøre utdanningen mer tilpasset og presis, den kan hjelpe med å effektivisere helsehjelp og fange opp sykdom på et tidlig tidspunkt, den kan spare samfunnet for store verdier ved å avdekke hvitvasking på en måte mennesker ikke kan. Søknadene representerer mange ulike sektorer, og vi har alt fra små oppstartsselskaper til store offentlige aktører på listen.

11 av søkerne kommer fra offentlig sektor, og 14 fra privat sektor.

Nå gleder vi oss til å komme i gang med de første sandkasseprosjektene. Følg gjerne med på våre nettsider om nytt fra sandkassen – vi staser på å dele oppdateringer underveis i prosjektene. Første runde vil vare i 3-6 måneder, og vi kjører nytt opptak når vi har kapasitet til høsten.