Innlegget er skrevet av juridisk direktør Erlend A. Methi og juridisk spesialrådgiver Miriam Karlsen. Det stod først på trykk i DN 24.11.2025

I fjor forsøkte svindlere å tappe norske banker for over 4,2 milliarder kroner. Faktiske tap ble mer enn 1,2 milliarder, en økning på 32 prosent fra året før. DN har i det siste satt søkelys på problemet, og løsningen virker enkel: Mer deling av informasjon mellom banker, politi og andre aktører, slik også et nytt lovforslag legger opp til.

Datatilsynet støtter forslaget i stort. Vi har i høringsuttalelsen vår bygget på erfaringer fra vår regulatoriske sandkasse med Finanstilsynet og flere finansforetak, der vi diskuterer rammer for hvordan svindel kan forebygges i praksis. En erfaring er tydelig: Informasjonsdeling er viktig, men likevel bare ett virkemiddel.

Andre midler handler gjerne om strengere kontroll av eID, mindre vekt på lettvinte digitale løsninger og tettere samarbeid på tvers av sektorer.

En annen erfaring er at det ikke er personvernforordningen (GDPR) som har hemmet deling, men nasjonale regler om taushetsplikt i finansforetaksloven. Det er disse som nå foreslås endret.

For oss som arbeider i feltet er det ikke ukjent at GDPR brukes som syndebukk, mens bildet i realiteten er mer nyansert og kan handle om manglende tekniske løsninger, kommersielle prioriteringer, overforsiktige fortolkninger, ønske om brukervennlighet og digitaliseringstempo – eller rett og slett andre hensyn og krav.

Forordningen åpner for deling av personopplysninger når det tjener viktige allmenne interesser, som svindelbekjempelse. Ved å gjøre GDPR til festbrems, risikerer vi at diskusjonen ikke kommer dit den bør: Til de virkelige utfordringene og løsningene. Hvordan sikrer vi målrettet og trygg informasjonsdeling – og rammer, kontrollmekanismer og tiltak som faktisk monner?

Formål og rammer for deling er viktige; ikke fordi personvernet til kriminelle veier tyngre enn kampen mot svindel, men fordi finansforetak forvalter store mengder data om oss alle. Satt sammen kan dette gi et detaljert bilde av folks liv. Det er data med stor verdi, mye skjer bak lukkede dører, og formålsutglidning og feil kan få store konsekvenser.

GDPR er ikke hinderet, men snarere et verktøy for å gjøre datadeling og videre bruk trygg, målrettet og tillitvekkende. Slik kan vi bekjempe svindel effektivt, uten å skylle ut noe annet viktig med badevannet.

Etter den første bølga med generative KI-verktøy som kunne gjere mykje artig, var 2024 året for integrerte KI-verktøy i systema vi allereie brukar. Slik som Microsofts M365 Copilot. Vi blir lokka med ein enklare og meir effektiv arbeidskvardag. Men det har også ein pris. Ikkje berre i kroner og øre.

Grundig kalkyle frå NTNU

Kva den prisen blir, er eit komplekst reknestykke. Så kva er vel betre enn at ein tung og truverdig aktør som NTNU tok på seg oppgåva med å rekne seg fram til eit svar. I god akademisk ånd gjekk dei grundig til verks. Og dei involverte oss i Datatilsynet ved å bli med i vår regulatoriske sandkasse. Det er eit veiledningtilbud, der vi kan gå djupare i materien – og ja, på ein måte vere meir løysningsorienterte – enn rammene tillet oss i tradisjonelle veiledningsformer.

Vi merka at mange «der ute» venta i spenning på vurderingane og erfaringane frå prosjektet. I slutten av november lanserte vi rapporten som ser på korleis ein stor offentleg aktør som NTNU eventuelt kan ta i bruk M365 Copilot.

Sjå rapporten «Copilot med personvernbriller på».

Før det hadde NTNU også laga ein rapport med viktige funn utover det reint personvernmessige, der dei tar for seg både forvaltning, opplæring, økonomiske kostnader og korleis eit slikt verktøy kan påverke organisasjonen og arbeidsmiljøet.

Sjå NTNUs funnrapport.

Forsiktig med den røde knappen

Hovedbudskapet er at verksemder bør vere varsame med å berre trykke på den røde knappen og ta i bruk dette eller liknande integrerte KI-verktøy utan å gjere grundige vurderingar i forkant, i tillegg til å sikre kontrollmekanismar og god opplæring av brukarane. For dette er kraftfulle saker.

Begge rapportane er pedagogisk oppbygd og delt inn i 8-9 funn eller hovedpunkt. Det er verdt å lese dei begge, men som ein appetittvekker, skal du få fem sentrale punkt her:  

1. Start med ein strategi.

Definer tydeleg kva verksemda ønsker å oppnå, kva områder som er aktuelle for KI-bruk og kva områder ein bør halde utanfor. Som hovedregel er generativ KI best når du allereie kan det du vil at den skal hjelpe deg med, du har kapasitet til å kvalitetssikre arbeidet, og er villig til å ta det heile og fulle ansvaret for feil i det den leverer.

2. Sørg for orden i eige hus.

Dette er superviktig. Copilot finn (og behandlar) all informasjon du har tilgang til. Det er godt muleg at du har tilgang til mykje meir informasjon enn du er klar over. Det kjem an på om verksemda di har stålkontroll, eller ikkje, på tilgangsstyring og alt som fins av personopplysningar i systema som blir brukt. Sjølv om lova krev at verksemder har stålkontroll – om enn i meir juridiske formuleringar – ville det vere naivt av Datatilsynet å ta for gitt – slik leverandøren av Copilot gjer – at absolutt alle faktisk har det.

Ei utfordring med Copilot er at svakheter i «den digitale grunnmuren» blir synlege og kraftig forsterka med eit verktøy som har tilgang til alt du har tilgang til – og veit å utnytte seg av det.

Eller for å ta den positive tilnærminga: premien til dei som har skikkeleg orden i eige hus, er at dei har ein langt kortare veg til å kunne ta i bruk integrert KI, som for eksempel Copilot.

3. Tenk grundig (og kreativt) gjennom kva som kan gå galt?

Brukarar vil dele alle typar data med, og bruke, generativ kunstig intelligens til det dei kan. Sånn er det berre. Er det muleg, vil det bli gjort. Det er viktig å ta med seg inn når ein skal gjere vurderingar av kva personvernkonsekvensar det vil få å ta i bruk eit slikt verktøy. Ein kan ikkje ta for gitt at folk berre brukar verktøyet slik sjefane har tenkt.

Og apropos sjefane: dette verktøyet kan brukast som bossware. «Kan» her som i teknologisk – ikkje juridisk – mulighet. La meg sitere frå NTNUs funn:

«arbeidsgivere kan vurdere ansattes prestasjoner og adferd basert på skriftlig innhold de har tilgang til, som filer, dokumenter, Teams-chatter, e-postkorrespondanse, Teams-innhold, følelsesreaksjoner (emojis), transkripsjoner fra møter med automatisk opptak, osv. Ansatte har ingen mulighet til å finne ut om en slik vurdering av dem selv har skjedd.»

NTNU oppdaga at det er lett å få verktøyet til å seie noko om humør og sinnsstemning til andre tilsette. Og:

«Når Copilot har for lite informasjon å jobbe med, kan det oppstå utfordringer med løgn og hallusinasjoner. Det er sannsynlig at Copilot kan «finne på» følelser for de ansatte, noe som gjør denne problemstillingen enda mer utfordrende.»

Ein kanskje litt kontroversiell tanke i NTNU-rapporten er å vurdere om for eksempel leiarar med personalansvar ikkje skal få tilgang til Copilot, mens tilsette «på gølvet» kan få det?

På toppen av det heile er dette eit verktøy i stadig endring – på godt og vondt. Feil blir fortløpande retta, verktøyet blir stadig justert, men nye funksjonar blir også stadig lagt til. Det gjer det utfordrande å forvalte. Det krev ei vaken IT-avdeling. Det krev masse opplæring. Og det krev disiplinerte brukarar.

Så sett frå eit personvernperspektiv; det er mykje som kan gå galt og mange ledd det kan svikte i. Og det er verksemda sitt ansvar å ha tenkt grundig gjennom alt.

4. Vurder alternative løysingar.

Viss nokon av blomstrane i bedet ser litt tørste ut, set du ikkje heile hagen under vatn. Då er vi tilbake til strategien. Kanskje held det med eit par meir spissa KI-verktøy, som gjer akkurat dei arbeidsoppgåvene det er (mest) behov for, i staden for dei integrerte som skal slurpe i seg det som fins av data i organisasjonen?

Det er definitivt verd å ta med i kalkuleringane, når arbeidet i organisasjonen skal effektiviserast, at det kan vere langt meir ressurskrevande å forvalte eit stort og komplekst verktøy, enn eit par små.

Og – kanskje litt pussig, men eit siste punkt:

5.  Ikkje hopp på KI-toget utan ein exit-strategi.

Ha ein klar plan for korleis verktøyet kan bli skrudd av, om nødvendig, før du slår det på.

Nederland har nyleg fraråda statlege verksemder å ta i bruk Copilot. Nokon vil kanskje påstå at vi i praksis gjer det samme. Men nei, teknologien har mykje bra i seg, og det handlar om å finne gode og praktiske tilnærmingar for å ta den i bruk på ein forsvarleg måte. Vår oppfordring er å gjere det i små og kontrollerte steg.

Men – dersom både dei som bygger KI-toget og passasjerane som kastar seg på er drevet av frykt for å ikkje vere fremst i toget, er det nok oppskrifta på ein ganske forutsigbar 💥 🙈

Personvernundersøkelsen 2024, utført av analyseselskapet Opinion på vegne av Datatilsynet, gir innsikt i dette spørsmålet.

Kjenner folk flest sine rettigheter?

En viktig forutsetning for at vi skal kunne ta vare på rettighetene våre er at vi kjenner til dem. Kjenner den norske befolkningen egentlig til sentrale rettigheter i personvernregelverket?

De aller fleste har hørt om retten til informasjon om hva en virksomhet samler inn, innsyn i personopplysninger, retten til å slette og at det i blant er lov å protestere mot bruk. Det er et godt utgangspunkt. Det betyr, i det minste i teorien, at de har noen verktøy de kan bruke når de føler at opplysningene ikke blir brukt i tråd med forventningene.

Opplever folk at de har kontroll?

Når så mange har kjennskap til sentrale rettigheter i personvernregelverket – betyr det at folk flest opplever at de har kontroll over hvordan personopplysningene deres brukes på internett?

Svaret på det spørsmålet er mer sprikende. Det er flest som velger «verken eller» på påstanden om opplevd kontroll, noe som kan tyde på at mange er usikre, eller at graden av opplevd kontroll er avhengig av hvilken tjeneste det er snakk om. Totalt sett er det flere som føler at de i svært liten eller liten grad har kontroll, enn som føler at de har stor eller svært stor grad av kontroll.

Undersøkelsen viser også at eldre mennesker i større grad enn yngre oppgir å ha kontroll over personopplysningene sine. Dette kan ha en sammenheng med at de trolig bruker færre tjenester på internett enn sine yngre, mer digitalt avanserte landsmenn. Jo flere tjenester som samler inn opplysninger, desto mer krevende kan det være å ta kontroll over opplysningene sine. Variasjonen i svarene kan også henge sammen med graden av tillit til de ulike tjenestene. Undersøkelsen viser at nordmenn flest har tillit til at offentlige virksomheter og banker behandler opplysningene deres på en god måte, mens kommersielle tjenester som sosiale medier og spill ikke nyter den samme tilliten.

Forstår folk flest hva som samles inn om dem?

De fleste har altså kjennskap til personvernrettighetene sine, men mange opplever at de ikke har kontroll over personopplysningene sine. En forutsetning for å kunne ta kontroll er å i første instans forstå hva de ulike virksomhetene samler inn av informasjon. I undersøkelsen har vi bedt respondentene ta stilling til om de forstår hva som samles inn gjennom ett av mange eksempler på sporingsteknologi vi omgir oss med, nemlig informasjonskapsler.

Informasjonskapsler er sporingsteknologi som vi som brukere stadig blir bedt om å ta stilling til. Hva skal virksomheten få lov til å samle inn? Kapslene brukes til å huske informasjon om de som besøker et nettsted, slik som foretrukne innstillinger eller innloggingsdetaljer, som gjør det enklere å bruke tjenesten. Andre kapsler kartlegger i detalj hvilke sider brukerne besøker, hvor lenge de er der og hva de gjør.

Det er flere som sier at de ikke forstår, enn som forstår, hva de bes om å ta stilling til når et nettsted ber om samtykke til å samle inn opplysninger om dem. Vi stilte også et oppfølgingsspørsmål om i hvilken grad folk flest tenkte seg om før de valgte innstilling. Selv blant de som tenker seg om sier halvparten at de fortsatt ikke forstår hva virksomheten ber om å få samle inn av opplysninger. Dette indikerer at det er vanskelig å få en oversikt over hva som samles inn om oss når vi besøker ulike nettsteder. Og jo flere nettsteder vi besøker, desto vanskeligere er det å opprettholde en oversikt, og dermed også å ha kontroll over egne personopplysninger.

Undersøkelsen viser også at mange av de som forstår hva virksomhetene ber om å få samle inn ikke har kontroll over personopplysningene sine. Resultatet gir sterke indikasjoner om at det er vanskelig å ha oversikt over sporingen som foregår på internett, og at det oppleves som vanskelig å ta kontroll over egne personopplysninger.

Det kan altså se ut som at det ikke er mangelen på kunnskap som hindrer oss fra å ta kontroll over personopplysningene våre, men at det snarere er måten de samles inn på og brukes som er vanskelig å få oversikt over. Uten reelle verktøy for å ivareta rettighetene våre, ligger vårt personvern i stor grad i virksomhetenes hender.

Personvernundersøkelsen 2024, utført av analyseselskapet Opinion på vegne av Datatilsynet, gir innsikt i dette spørsmålet. Et landsrepresentativt utvalg på 1519 personer over 15 år svarte på undersøkelsen i januar i år.

Hvilke virksomheter har vi tillit til?

Undersøkelsen tok blant annet for seg folks holdninger til hvordan virksomheter håndterer personopplysninger. Respondentene fikk følgende spørsmål om tillit:  

Svarene viser at det er klare forskjeller mellom hvem vi har tillit til. Grovt oppsummert kan det sies at flere offentlige virksomheter nyter høy tillit når de behandler våre opplysninger, mens private virksomheter har mindre. De vi har minst tillit til er tjenestene som er levert av de store tekno-gigantene, slik som Google og Meta. 75 prosent har liten eller ingen tillit til hvordan søkemotorer oppbevarer og bruker personopplysninger på, mens 83 prosent har liten eller ingen tillit til hvordan sosiale medier gjør det.

Den lave tilliten til denne type tjenester kan ses i sammenheng med negativ medieomtale over flere år når det kommer til misbruk av brukernes personopplysninger. Eksempler på dette er Cambridge Analytica-saken fra 2018, og senest i år kom det frem at flere sosiale medie-tjenester brukte eller planla å bruke innholdet til brukerne sine for å trene kunstig intelligens.

Apper for spill og underholdning skiller seg også negativt ut. Spillindustrien, som nå overgår filmindustrien i inntjening, krever ofte omfattende mengder personopplysninger av spilleren for å opprette brukerkonto. I tillegg kan mange opplysninger bli samlet inn mens du spiller. Dette reiser viktige spørsmål om hvordan de ivaretar personvernhensyn, særlig med tanke på yngre spillere. At folk har lav tillit til disse kan tolkes som om at de er kritiske og uttrykker en sunn skepsis til hvordan slike tjenester behandler personopplysninger.

Fører manglende tillit til at vi faktisk endrer oppførsel?

Men hvordan påvirker tillit vår oppførsel på nett? Det kan være vanskelig å koble en holdning til en handling. For å grave mer i dette, spurte vi folk om de har handlet på en bestemt måte i tilfeller hvor de er usikre på hvordan deres opplysninger blir brukt.

På spørsmålet om hvorvidt folk har tatt grep eller unnlatt å gjøre noe på grunn av denne usikkerheten, er svaret  tydelig «ja» for store deler av befolkningen. 64 prosent har unnlatt å ta i bruk en tjeneste eller et produkt som følge av at vi er usikre på hvordan personopplysningene blir brukt, og 74 prosent har latt være å laste ned en app.

At folk ikke laster ned visse apper kan være et tegn på sunn skepsis. Mange apper samler inn mer informasjon om oss enn det som er nødvendig. Mange aktører videreselger også informasjon om oss til annonsører, for at de skal sende deg målrettet reklame.

Undersøkelsen gir et tydelig signal til kommersielle aktører: Hvis de ikke oppfyller brukernes forventninger til personvern, risikerer de at brukere lar være å ta i bruk tjenestene deres eller at de begrenser aktiviteten sin i tjenesten.

Ytringsfriheten på kommersielle plattformer?

Undersøkelsen viser at mange lar være å delta i meningsutvekslinger på nett fordi de er usikre på hvordan opplysningene kan bli brukt. En betydelig andel, 47 prosent, har unngått diskusjoner i sosiale medier og nettaviser, og 35 prosent har gått så langt at de har slettet en konto i sosiale medier. Dette kan potensielt påvirke den offentlige debatten i en tid preget av polarisering og meningssiloer. Mye av den offentlige meningsutvekslingen foregår på plattformer som mange er skeptiske til å bruke.

Kanskje mest bekymringsverdig er at 14 prosent, en ikke ubetydelig andel av befolkningen, har unnlatt å søke etter hjelp om sensitive problemer i en søkemotor. For mange er et enkelt søk på Google det første steget mot å få hjelp, og når tilliten til disse plattformene svikter, kan det få alvorlige konsekvenser.

Oppsummert viser undersøkelsen at det er varierende tillit til de forskjellige aktørene på nett, og at mange unnlater å ta i bruk forskjellige tjenester på grunn av usikkerhet rundt hvordan deres personopplysninger håndteres. Dette viser at tillit er avgjørende for hvordan vi bruker digitale plattformer og tjenester.  

Fremover vil flere trender og teknologier utfordre personvernet. Spesielt kunstig intelligens (KI) er for tiden i alles bevissthet og noe enhver snakker om – med eller uten personvernbriller. Men hvilke tanker gjør du deg om nevroteknologi innen helsesektoren og helseforskning, neste generasjon Internet of Things (IoT) eller desentralisert økonomi og digitale sentralbankpenger? Eller hva med tendensen til all altoppslukende og avhengighetsskapende teknologi mer generelt?

Hamstring av data — hva er nødvendig?

Det teknologiske landskapet flommer over av data, vi lagrer bilder og tekst både som enkeltmennesker og i virksomheter, i stat og kommune. Innen 2025 spås det at vi vil mangle mennesker med IT-ekspertise, og jeg tror folk flest ikke vil klare å henge med på den digitale utviklingen.

Fra år 2018 til 2025 vil det globale datavolumet øke med fem-gangeren, ifølge et estimat av EU-kommisjonen i forbindelse med sitt arbeid med EU Data Act. I 2018 lagret vi totalt 33 ZB. For å illustrere størrelsen: dersom du har et nettbrett som kan lagre 512 GB, så ville 33 ZB danne et tårn med slike nettbrett herfra til månen. Og i 2025 vil vi ha fem slike tårn. Mengden data øker med 1260 nettbrett pr sekund. I samme periode vil etterspørselen på IT-eksperter dobles, fra nesten 6 millioner i 2018, til 11 millioner i 2025. Det er neimen ikke sikkert at de digitale ferdighetene til folk flest ikke øke vil øke i takt med teknologiutviklingen.

Dette skjer samtidig med at europeere vil møte et stadig mer gjennomdigitalisert samfunn. EU-kommisjonens rapport Europe’s Digital Decade: digital targets for 2030 antar at alle nøkkeltjenester i EU vil være digitalisert innen 2030, at alle borgerne vil ha en digital ID og at samme borgere vil ha digital tilgang til helsejournalen sin.

Men akkurat hva, av alt vi lagrer av data, er virkelig nødvendig å lagre, både fra et personvernperspektiv og et bærekrafts- og miljøperspektiv? Dette er et viktig spørsmål som i hvert fall enhver som forvalter personopplysninger plikter å ta stilling til.

Dataøkonomi

Vekstpotensialet til dataøkonomien er stor, og data er grunnlaget for mange nye digitale produkter og tjenester. Bruken av tilkoblede objekter, IoT, genererer stadig mer data.

Tidligere nevnte Data Act, dataloven fra EU, vil gjøre data mer tilgjengelig for ulike aktører på tvers alle økonomiske sektorer i EU for «for a fair and innovative data economy». Men samtidig vil den sette opp regler om hvem som kan bruke data, hvilke data ulike aktører skal ha tilgang til og til hvilket formål de skal bruke dataen til. Loven har også en grenseflate mot personvernforordningen, og vil etter hvert også implementeres i Norge.

Når dine og mine data skal brukes og deles på en slik måte, er det helt klart at informasjonssikkerheten er avgjørende, og derfor har vi som enkeltindivider rettigheter og virksomheter plikter i personvernforordningen.

Hva vil kunne utfordre personvernet fremover?

Vi vil nok stå overfor flere teknologier som utfordrer oss fremover, og som vi sammen må finne løsninger på.

I den økende datamengden omtalt over, vil vi møte på utfordringer av typen mangel på kontroll og fravær av ansvarlighet. Neste generasjon IoT, som bidrar til økende innsamling av data, med storstilt sammenkobling og deling av data, er et eksempel på en teknologi som vil stå overfor slike utfordringer.

Bruk av kunstig intelligens vil utfordre lovligheten i behandlingen av personopplysninger ved trening og i produksjon, i tillegg til utfordringer knyttet til åpenhet, nøyaktighet og rettferdighet. Samtidig vil kunstig intelligens utfordre tilliten vi har til det digitale på bred front – tillit til tjenester, bilder, video, tekst og stemme. Hva er ekte, hva er sant? Samtidig vil kunstig intelligens kunne brukes for å indikere trusler og forbedre informasjonssikkerheten.

Nevroteknologi er teknologi som samler, analyserer og bruker informasjon som produseres og samles inn direkte fra hjernen og nervesystemet vårt (såkalt nevrodata). Teknologien kan brukes til å måle alt fra konsentrasjonsnivå på jobb til å utvikle smarte proteser som etterligner hjernemønstre for å gi raskere respons. Utfordringene med slik teknologi er potensielt mange, men eksempler er diskriminering, enkeltindividers mangel på forståelse av teknologi og terminologi, samt koordinering av felles regler og felles forståelse på et område som både er vitenskapelig, etisk og juridisk komplekst.

Såkalt oppslukende teknologi omfatter teknologi som skaper ulike former for sterke, intense opplevelser, men som potensielt også er avhengighetsskapende og besettende. Ett eksempel er VR-headsett, som gir oss virtuelle opplevelser. Slike enheter samler inn personopplysninger om øyebevegelser, pupillstørrelse, hjertefrekvens, stemme, håndbevegelser osv. Blant utfordringene vi møter på her er å vite hvem er den behandlingsansvarlige, hvorvidt de har lovhjemmel for behandlingen av data, åpenhet, deling og bruk av dataen til andre formål.

En annen ting vi ser er at de store teknologiselskapene vil enda mer på banen med egne betalingstjenester. De kan ha andre formål enn aktører vi er bedre kjent med i dagens og gårsdagens markedsøkonomi. Det foreslåtte tredje betalingstjenestedirektivet (PSD3) fra EU bygger på ideen om at tredjeparter ikke bare skal få tilgang til bankenes kjernesystemer, men også til sjiktet av tjenester bankene har bygget for sine nettbaserte grensesnitt, på toppen av kjernesystemene. Vi vet at de store teknologiselskapene har mye kapital, men også at de kan holde kortene tett til brystet når det gjelder åpenhet rundt bruk av innsamlet informasjon. Utfordringene på dette området kan for eksempel knyttes til lovlighet og åpenhet, eller til respekt for og samsvar med personvernforordningen mer generelt.

Digitale sentralbankpenger (DSP) er digitale kontanter, en type elektroniske penger utstedt i den offisielle pengeenheten som brukes i et land. DSP er videre smarte, digitale kontanter som kan programmeres. DSP vil potensielt kunne få ulike personvernkonsekvenser avhengig av hvilken modell som velges. Konkrete utfordringer kan være sporing, mangel anonymitet ved all type handel og manglende frihet for eksempel fordi andre personer eller aktører kan legge betingelser på penger som overføres til deg.

Et kjennetegn ved all ny teknologi er at det kan brukes med både gode og onde intensjoner. Sagt med andre ord: En teknologi kan både benyttes til å oppklare sikkerhetshendelser, men også til å skape sikkerhendelser. Trusselaktører, for eksempel kriminelle, benytter de samme teknologiene som de som forsøker å beskytte informasjon, og vil kunne bruke teknologien i digitale angrep for å oppnå ulik vinning. Personopplysninger er så å si alltid inngangsverdien til et digitalt angrep. Utfordringene her at den som forvalter våre personopplysninger, den behandlingsansvarlige, må sørge for tilstrekkelig sikkerhet, som innbefatter bevissthets- og sikkerhetsopplæring til sine ansatte.

Verdt en lytt?

Teknologi og personvern har også i høyeste grad en slagside til politikk. Innleggsforfatter Veronica deltok nylig i en podkast om nettopp dette temaet, titulert «Teknologi i personvernets tjeneste», som er del av Datatilsynets podkastserie som følger opp Personvernkommisjonens rapport. Se oversikt over alle våre podkaster på datatilsynet.no.

Denne teksten er utdrag fra et foredrag jeg holdt under Lovkonferansen i juni 2023.

Norge er et av verdens mest digitaliserte samfunn. Det er positivt og viktig for utviklingen av Norge. Digitalisering gjør oss for eksempel i stand til å løse samfunnsoppdrag innen helse og omsorg i en situasjon hvor varme hender vil være mangelvare.

Men digitalisering skjer ofte på bekostning av retten til en privatsfære og et personopplysningsvern.

Det slo også Personvernkommisjonen fast i sin rapport – hvor nettopp dette var ett av hovedfunnene. Omtrent 5 år etter GDPR trådte i kraft, har vi altså en utvikling hvor vi har et svekket personvern sammenlignet med tidligere tider som følge av digitaliseringen av samfunnet.

En gradvis svekkelse av personvernet

Byggesteinene i den datadrevne økonomien er i stor grad personopplysninger. Dagens digitale samfunn åpner opp for enorme muligheter, men også noen farer.

Personvernkommisjonen peker i sin rapport på at utvikling og innføring av ny teknologi skjer raskt og uten at vi alltid har full oversikt over konsekvensene. Kontroversiell og inngripende teknologi blir fort normalisert og allment akseptert. Dette medfører en gradvis svekkelse av personvernet. En slik svekkelse kan være vanskelig å få øye på før det er for sent å motvirke de negative effektene.

Hvorvidt vi makter å treffe den riktige balansen mellom mulighetene ved digitalisering og ulempene i form av tilsidesatte grunnleggende rettigheter og samfunnsverdier, vil bli avgjørende for hvilket samfunn vi skaper sammen.

En åpen, opplyst samtale og politisk fokus og effektive rettssikkerhetsmekanismer er grunnleggende for å motvirke den negative utviklingen med at personvernet settes til side.

Avveininger hele veien

Hvilke mekanismer har vi som samfunn til å ivareta personvernet og løpende finne den riktige avveiningen mellom digitalisering og innovasjon, utvikling, og ivaretagelse av våre grunnleggende rettigheter?

Her er det fristende å trekke frem flere mekanismer eller virkemidler:

• En åpen, opplyst samtale om denne avveiningen og denne utviklingen er ett virkemiddel
• Personvernpolitikk er et annet – dersom Stortinget fikk en rapport om personvernets stilling hvert år
• Et sterkt og tydelig tilsynsorgan er jo også et virkemiddel i seg selv
• Og til sist – dagens tema – selve lovgivningsprosessen vi har i Norge i dag.

Lovgivningsprosessen som demokratisk verdi

Lovgivningsprosessen starter på litt ulike måter, og ender opp med at departementet skriver forslaget til en lov.  Så blir dette forslaget sendt på høring.

Denne delen av lovgivningsprosessen har stor demokratisk verdi. Det er en grunnsten i vårt system at lovforslag og endringer skal høres i en demokratisk prosess.

Datatilsynet har imidlertid erfart at en slik høring ikke alltid er tilstrekkelig og eller gir de nødvendige rettssikkerhetsgarantiene som vi trenger.

Vi har for eksempel sett at lovforslag som hjemler store inngrep i borgernes personvern ofte ikke er utredet godt nok til at Stortinget blir kjent med konsekvensene av lovene de vedtar.

Uten en oversikt over personvernkonsekvensene av et lovforslag, er det svært vanskelig for Stortinget å sørge for at innbyggernes personvern er ivaretatt.

Stortinget settes som en følge av dette ikke i stand til å gjøre godt informerte verdivalg. Utfordringen kan deles opp i følgende punkter, som utdypes nedenfor:

• Mangelfull og nærmest fraværende forhåndsutredning av personvernkonsekvenser (som er pålagt etter GDPR artikkel 35 og 36)
• Høringsnotater kommer ofte sent, og inneholder mangelfull og krevende beskrivelse av hvordan lovforslag påvirker personvernet
• Mangelfull oppfølging av høringssvar
• Fullmaktslovgivning som en trussel mot personvernet i dagens samfunn

Mangelfull og nærmest fraværende forhåndsutredning av personvernkonsekvenser.

Etter personvernforordningen artikkel 36 nr. 4 skal medlemsstatene rådføre seg med tilsynsmyndigheten på personvernområdet ved utarbeidelse av forslag til lovgivning, eller et reguleringstiltak som er knyttet til behandling av personopplysninger. Sett i sammenheng med artikkel 36 for øvrig, vil rådføringen trolig kun være nødvendig i tilfeller hvor behandlingen medfører høy risiko for de registrertes rettigheter og friheter.

Det følger altså av personvernforordningen en særskilt rådføringsplikt når det er snakk om behandling av personopplysninger som innebærer høy risiko for rettigheter og friheter.

Mange av dagens lovprosesser omfattes trolig av dette kriteriet.

Datatilsynet har fått svært få slike henvendelser om rådføring i forbindelse med lovgivningsarbeidet etter 2018. Det er heller ikke satt i noe godt system at slike konsekvenser skal utredes på forhånd og at rådføring skal gjennomføres, så vidt vi erfarer.

Personvernkommisjonen peker på at den rådføringsplikten som følger av personvernforordningen ikke kan anses som oppfylt ved at Datatilsynet er høringsinstans i forbindelse med en ordinær offentlig høringsprosess.

Plikten til rådføring med tilsynsmyndigheten under et regelverksarbeid kan altså, verken tematisk eller prosessuelt, likestilles med offentlig høring av et lov- eller forskriftsforslag.

Det at vi ikke får slike henvendelser, indikerer etter vår oppfatning en klar svakhet ved dagens lovgivningsprosess.

Høringsnotater kommer ofte sent

Det er også ofte for sen, mangelfull og krevende beskrivelse av hvordan lovforslag påvirker personvernet i samfunnet i høringsnotater.

Stortingets mulighet til å gjøre avveininger mellom ulike samfunnshensyn, herunder personvern, er betinget av at de ulike hensynene er godt beskrevet og synliggjort.

Vurderingen av om et inngrep i personvernet skal vedtas må baseres på en fremstilling – i for eksempel høringsnotatet – av blant annet formålet med lovforslaget og hvilke konsekvenser behandlingen av personopplysninger medfører.  

Vår erfaring er at det også her gjøres for lite for å kartlegge og beskrive konsekvensene av en lov eller forskrift, i forhold til hvilke konsekvenser den får for personvernet i samfunnet.

Det er også en observasjon fra vår side måten inngrepene og konsekvensene beskrives på, er med på å undergrave den totale effekten av tiltakene man ønsker lovregulert. Man beskriver for eksempel ett og ett punkt, og svarer ut fortløpende med beskrivelse av avhjelpende tiltak. Som en følge av denne måten å fremstille lovforslaget og effektene på, blir det vanskeligere for Stortinget og andre å få med seg det totale og komplette bildet.

Dette er etter vår mening en klar svakhet ved hvordan høringer i dag gjennomføres, og som i seg selv innebærer en risiko for tilsidesettelse av personvernet.

Mangelfull oppfølging av høringssvar

Det er ofte ikke så lett å se resultatene av høringsinnspill som er gitt. Selv om vi roper varsku med utestemme og blokkbokstaver, så skjer det ikke alltid noe. 

I 2021 besvarte Datatilsynet 49 av totalt 151 høringer som gjaldt offentlige myndigheters behandling av personopplysninger og som hadde betydning for personvernet.  Av disse mente vi at utredningen av personvernkonsekvenser var mangelfull eller fraværende i 30 av tilfellene, altså 60 %. Hvordan våre høringsinnspill ble imøtekommet, er det krevende å få en oversikt over.

Fullmaktslovgivning som en trussel mot personvernet

Det er ikke mangler ved høringsinstituttet som er utfordringen – men snarere valg av lovsform.

Rammene for behandling av personopplysninger settes ofte i forbindelse med vedtakelse av lover som inneholder generelt utformede bestemmelser med forskriftshjemmel.

I slike tilfeller fastsettes kun de helt ytre rammene – hvis rammene fastsettes i det hele tatt – for tiltaket i loven, mens detaljene skal reguleres nærmere i forskrift. Dette i motsetning til tilfellene der inngrepet i personvernet fremgår klart av selve loven idet den vedtas.

Bruken av fullmaktslovgivning, hvor vurderingen (og gjennomføringen) av selve inngrepet i personvernet blir lagt til underliggende etater eller virksomheter, er en risiko i seg selv.

Vi ser altså slik fullmaktslovgivning som en klar trussel mot personvernet i dagens samfunn.

Våre erfaringer er at makten til å gjøre store inngrep i innbyggernes fundamentale rettigheter, flyttes fra de folkevalgte til forvaltningen.

Et illustrerende eksempel på dette er vedtaket vi nylig fattet i saken mot SSB, hvor de ønsket å innhente bongdata fra dagligvarebransjen med hjemmel i et enkeltvedtak fattet av dem selv.

Personvernkonsekvensene må frem

De forholdene jeg har fremhevet, innebærer en risiko for at det åpnes for uforholdsmessig store inngrep i personvernet uten at Stortinget er gjort tilstrekkelig oppmerksom på det og at helt sentrale rettssikkerhetsgarantier forvitrer.

Snarere er det regelen heller enn unntaket at personvernkonsekvensene som de folkevalgte skal vurdere er dårlige, mangelfulle og ofte feilaktig fremstilt.

Disse svakhetene ved lovgivningsprosessen settes enda mer på spissen når vi ser dette opp mot den digitale utviklingen- og revolusjonen vi står i nå.

Hvordan skal lovgiver og ansvarlige myndigheter kunne ta stilling til og ta ansvar for bruken av for eksempel kunstig intelligens satt opp mot personvern og andre grunnleggende rettigheter i samfunnet, når prosessene ikke tar høyde for både informasjonsbehovet og et tydelig og klart språk?

Det er viktig å anerkjenne utfordringene vi står ovenfor.

I dag, 25. mai 2023, feirer hele Europa at GDPR, eller personvernforordningen, er fem år. Personvernforordningen trådte egentlig i kraft i EU den 24. mai 2016. Det var imidlertid først fra 25. mai 2018 at alle virksomheter i EU måtte følge reglene og tilsynsmyndighetene kunne begynne håndhevingen. For oss i Norge trådte personvernforordningen i kraft først den 20. juli 2018. Komplisert skal det være, men det som er sikkert er at vi feirer sammen med våre søstertilsyn i dag. Vi har hatt en bratt læringskurve. Regelverket er komplisert, og det har vært krevende både for virksomheter og tilsyn å sørge for best mulig etterlevelse. Heldigvis er det en større mening og verdi bak det hele: Personvern er en menneskerettighet vi ikke kan ofre for digitaliseringsiveren. Personvernet er i dag viktigere enn noen gang, som en grunnleggende forutsetning for vårt demokratiske samfunn. 

Men hva er egentlig personvern i dag?

Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvernkommisjonen uttaler følgende i sin rapport NOU 2022: 11 Ditt personvern – vårt felles ansvar – Tid for en personvernpolitikk, på side 29:

«Personvern kan defineres og beskrives på ulike måter. Uansett hvilken innfallsvinkel du velger, står det enkelte menneskets ukrenkelighet og krav på respekt fra andre mennesker, virksomheter og myndigheter, respekt for egen integritet og privatlivets fred, sentralt. Personvern er derfor nært knyttet til enkeltindividers muligheter for privatliv, selvbestemmelse og selvutfoldelse. I tillegg kan personvernet sies å være et grunnleggende premiss for et fullverdig demokratisk samfunn».

Retten til personvern beskrives her som en absolutt forutsetning for et fullverdig demokrati. I dagens digitale samfunn og den teknologiske revolusjonen vi står midt oppi, er personopplysningsvernet helt sentralt for å ivareta grunnleggende personvern, integritet og privatlivets fred. I den digitale tidsalderen vi er i, trer nemlig data frem som det definerende symbolet på vekst, fremskritt og makt. Og byggesteinene i dagens digitale økonomi er i stor grad personopplysninger.

Personvern er ikke bare en viktig menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet og privatliv. Personvern er også viktig for å sikre felles goder i et demokratisk samfunn. Uten retten til å ha et privatliv vil det ikke være mulig for den enkelte å skape seg et rom til å utvikle refleksjoner og vurderinger på et selvstendig grunnlag, uten å bli forstyrret eller kontrollert av andre.

Intet personvern, intet demokrati

Personvernforordningen er et viktig og komplekst regelverk, som har løftet personvernet på alle områder av samfunnet. GDPR gir både private og offentlige virksomheter plikt til å sørge for grunnleggende personopplysningsvern for alle de behandler opplysninger om – det være seg ansatte, kunder, pasienter, brukere eller innbyggere. Den gir også enkeltindivider rettigheter som de behandlingsansvarlige, altså virksomhetene som behandler dine data, må møte.

Plikt- og rettighetsbestemmelsene i forordningen gir til sammen et omfattende regelvern for ivaretagelse av personvernet og personopplysningsvernet til enkeltindivider. På et mer overordnet nivå er summen av plikter og rettigheter med på å regulere samfunnets ivaretagelse av personvernet og personopplysningsvernet. Denne felles innsatsen er derfor et viktig fundament i det norske demokratiet. Intet personvern, intet demokrati.

Krevende regelverk gir også magi

Innføringen av GDPR i 2018 var et vannskille for personvernet og personopplysningsvernet. Mange har dog erfart at regelverket kan være teoretisk og vanskelig tilgjengelig, og ikke minst krevende å omsette i praksis. 

Magien skjer når du klarer å omsette personvernforordningen fra teoretisk lovtekst til operasjonelt og funksjonelt personvern. Jeg har ofte beskrevet det som en «oversetterjobb» – kravene som følger av lovteksten må omsettes til praktiske og gjennomførbare tiltak hos den behandlingsansvarlige. Slik er det til en viss grad med all lovtekst – den må tolkes og forstås opp mot en faktisk og praktisk virkelighet. Men for personvernregelverket kommer dette særlig på spissen, ettersom ansvarlighetsprinsippet medfører at det er den behandlingsansvarlige som må vurdere, velge og prioritere tiltak, og gjennomføre og dokumentere hvilke grep som sikrer etterlevelse i den konkrete virksomheten.

Veien fra lovtekst til personvern i praksis må læres. Med kunnskap om både lov og praksis, har du et godt grunnlag for å være med på å forstå en viktig grunnsten i det norske demokratiet.

Gratulerer med femårsdagen!

I likhet med ekte intelligens, må kunstig intelligens lære selv, for å utføre en oppgave. Det ligger i kunstig intelligens’ natur at du ikke på forhånd kan bestemme akkurat hvordan den vil lære seg noe. Noen ganger oppstår også hell i uhell, og du oppdager at du kan bruke KI-en til flere, eller andre ting, enn den var utviklet for.

Åpenhet om formål

Når kunstig intelligens skal lære av eller brukes på personopplysninger, stiller regelverket krav om at man er åpen om formålene med bruken. Personene som opplysningene gjelder – de registrerte – har krav på å vite hva opplysningene skal brukes til. Denne informasjonen skal man få før personopplysningene samles inn.

Åpenhet har vært hovedtema for prosjektet Ruter har deltatt med i Datatilsynets KI-sandkasse. Ruter planlegger å bruke kunstig intelligens i sin app for å tilby kundene persontilpassede reiseforslag. I sandkasseprosjektet har Datatilsynet og Ruter diskutert hvordan de kan være åpne om behandlingen av personopplysninger i denne løsningen.

Les sluttrapporten fra Ruterprosjektet, «I rute med kunstig intelligens».

Det kan være vanskelig å på forhånd vite hvilken bruk av personopplysninger som trengs for å få den kunstige intelligensen til å virke som den skal. I tillegg kan den kunstige intelligensen vise seg å ha flere bruksområder når den er blitt opplært. I motsetning til Ruters bussruter, som skal være så forutsigbare som mulig, vil det være en styrke for Ruters app om den overrasker med nye måter å reise bedre på. Stenger da regelverket for å gjøre noe utover det du så for deg i utgangspunktet?

Hvor mye skal til?

Vi kan omformulere spørsmålet til hvor mye du må få vite før personopplysningene dine samles inn. Regelverket krever at formålene skal være spesifikke, uttrykkelig angitte og berettigede. Du kan altså ikke invitere på blåtur i forstand av så brede formål, at man i realiteten ikke forstår rekkevidden av hva personopplysningene kan brukes til. Når du har angitt formålene, setter de skranker for hvilken bruk som er tillatt. Oppdager du senere at det er verdifullt å bruke personopplysningene til et nytt formål? Ja, da må du gjøre nye vurderinger og finne et nytt rettslig grunnlag for bruken. Og ikke minst – la være å gå videre med det nye formålet, om du ikke finner dekning for det.

Et hovedhensyn er at måten personopplysningene behandles på skal være forutberegnelig. Bruken må knytte seg tett nok opp mot det formålet som var definert ved innsamling. På den måten får de registrerte en større grad av kontroll over hvordan noen bruker personopplysningene deres. Hvis man ser at bruken i realiteten knytter seg til et annet formål, skal den som hovedregel ikke skje, med mindre man starter på nytt med nye vurderinger og tiltak som kan gjøre bruken lovlig.

Forutsigbarhet for de registrerte er avgjørende for tillit. Tillit er viktig når man skal la kunstig intelligens jobbe med folks personopplysninger. Så hvordan skaper du forutsigbarhet ved bruk av et verktøy som (delvis) har uforutsigbarhet som sin styrke?

Å avgrense formål

Når du først har identifisert alle bruksområder du kan se for deg, og bestemt deg for hvilke formål du vil forfølge, kommer spørsmålet om hva som hører inn under ett og samme formål opp. Selv om ulik bruk av personopplysninger i den kunstige intelligensen kan utfylle ulike oppgaver, kan bruken høre til samme formål.

I sandkasseprosjektet diskuterte Ruter og Datatilsynet for eksempel om behandling av personopplysninger for å gi persontilpassede reiseforslag og etterlæring av den kunstige intelligensen er to separate formål. Ruter forklarte, at det er vanskelig å få til det ene uten det andre. For at den kunstige intelligensen skal klare å gi gode, persontilpassede reiseforslag, må den stadig læres opp. For eksempel må den tilpasse seg endringer i reisemønster.

Man kan altså se det slik at etterlæringen er en behandlingsaktivitet som hører inn under formålet om å gi persontilpassede reiseforslag. Det samme kan sies om retting av feil eller justering av elementer den kunstige intelligensen legger vekt på før den gir et reiseforslag.

Bruk for nye formål

Ruter har planlagt å legge til rette for god informasjon om formålene de kan se for seg allerede ved innsamling. Hvis det senere oppstår behov for å oppfylle nye formål, som de ikke så for seg ved innsamling, kan de i utgangspunktet ikke gå videre med bruken. Det finnes likevel mulighet for å oppfylle det nye formålet, dersom det er forenelig med det opprinnelige formålet.

En type bruk, som i regelverket er angitt som forenelig uansett opprinnelig formål, er bruk for statistiske formål. Såfremt du sørger for å avidentifisere og beskytte opplysningene i så stor grad som mulig, samt å informere om ny bruk, kan bruk for statistiske formål være mulig selv om det er et nytt formål. I den grad du ser for seg en slik bruk allerede på innsamlingstidspunktet, må du likevel informere om det som et eget formål allerede da.

Fordel å ha tunga rett i munnen fra starten av

Når du skal bruke personopplysninger, må du ta noen hensyn som kan være krevende ved utvikling og bruk av kunstig intelligens. Bruksmulighetene begrenses ut fra hva slags informasjon man har gitt til de registrerte ved innsamlingen.

Man må planlegge godt. Det betyr å informere godt – ved innsamling – om alt du planlegger å bruke personopplysningene til. Godt forarbeid på dette området vil kunne gjøre jobben med den kunstige intelligensen lettere i et langsiktig perspektiv. Da får man en vinn-vinn-situasjon for virksomheten og for de registrerte.

På lørdag skrev Øyvind Husby at Datatilsynet bommer om felles behandlingsansvar ved bruk av Facebook-side. Han sier dette er problematisk fordi vi som tilsyn forventer at vår vurdering skal være en mal for andre.

Vi har vært tydelige på at vi ikke opptrådte som tilsyn da vi vurderte vår bruk av Facebook. Vi har presisert at man ikke trenger å bruke samme metode som oss og at alle må gjøre sine egne vurderinger.

Misforstått

Når det gjelder jussen, ser Husby ut til å tro at det må foreligge en eksplisitt avtale om formål og midler for at felles behandlingsansvar skal inntre.

I Wirtschaftsakademie- og Fashion ID-dommene som Husby peker på, forelå det ingen enighet mellom partene. Partene brukte dessuten personopplysninger til litt ulike ting. Likevel konkluderte EU-domstolen med felles behandlingsansvar. Begge parter bidro nemlig til innsamling av data og å sette rammene for behandlingen, samtidig som de hadde en felles økonomisk interesse. Det er dette vi har lagt til grunn i våre vurderinger.

I førstnevnte dom finner vi uttalelser om omfanget av felles behandlingsansvar for Facebook-sider. Vi er enige med IKT-Norge i at man ikke har ansvar for alt som skjer på Facebook, men basert på dommens ordlyd kom vi frem til at omfanget av felles behandlingsansvar er videre enn hva Facebook legger opp til i sitt avtaleverk. IKT-Norge ser ut til å stole blindt på dette avtaleverket.

Huseby får det til å se ut som at vi står alene i vår forståelse, men vår tolkning er i tråd med retningslinjene til Personvernrådet, der alle 30 datatilsyn i EØS er medlemmer.

Vranglære

At andre er uenig i vår risikovurdering, er uproblematisk. Her prøver imidlertid IKT-Norge, et interesseorgan som representerer Facebook, å snu opp ned på det EU-domstolen har sagt om Facebook.

Det er skremmende, men ikke nytt.

Schrems II-dommen, som også gjaldt Facebook, sier litt forenklet at USA ikke har god nok beskyttelse av personopplysninger. Facebook har tolket seg bort fra dommen og sender derfor data fritt til USA likevel.

Vi vet at Facebook ofte gjemmer seg bak interesseorganer når de skal lobbe. Dette er vanlig taktikk i Brussel, og vi må være oppmerksomme på det samme her hjemme.

Udemokratisk

Husby avslutter innlegget sitt med å påpeke demokratisk deltakelse – og det er kjernen av problemet.

Facebook bestemmer hvem som får og ikke får se ulike budskap, basert på inngripende sporing som kan medføre nedkjølingseffekt. Nylige avsløringer viser at algoritmene premierer destruktivt og splittende innhold, og Facebook har blitt anklaget for å bidra til vold mot rohingyaene i Myanmar.

At Facebooks interesseorganisasjon skal definere demokratisk deltakelse, er mildt sagt problematisk.

Vårt mål er at Facebook skal respektere demokratiet og rettighetene våre. Det er trist at IKT-Norge har andre mål.

Dette innlegget ble først publisert i Dagens Næringsliv (02.02.22), og er skrevet av konstituert direktør Janne Stang Dahl og seksjonssjef Tobias Judin.

De enorme datamengdene handler om deg og meg

Nylig fikk jeg tilsendt en oppsummering av året 2021 fra Google Timeline. Her er min dagslogg fra 1. mars: Jeg dro hjemmefra kl. 06:58, tok en blodprøve kl. 07:50, var i Datatilsynets gamle kontor kl. 08:13, i våre nye lokaler kl. 08:45, handlet på Match kl. 17:03, Vitus Apotek kl. 17:18, og kom hjem kl. 18:15.

Kort sagt: Google visste alt jeg gjorde denne dagen.

Men Google er ikke alene om å samle data. I skolen samles det inn store mengder data om elevene. I helsesektoren ligger våre mest sensitive data lagret, og politiet og etterretningen har vide fullmakter til å samle inn data om oss vanlige borgere. Slik kunne jeg fortsatt, sektor for sektor. Denne enorme datamengden handler om deg og meg, om vanene våre, sykdommene våre, interessene våre, om hva vi spiser og når vi tar blodprøver, altså hvordan vi lever livene våre.

Noe måtte gjøres, og i 2018 kom nye regler fra Brussel.

GDPR og domstolsavgjørelser

Personvernforordningen GDPR var et tidsskille i personvernets historie. Nye plikter, høyere bøter, bedre samarbeid på tvers av land og bedre rettigheter, er noen stikkord. Plutselig handlet personvern om tillit, troverdighet, forretningsutvikling og respekt for personen bak opplysningene. Vi ser også at GDPR virker. Det er skrevet ut gebyrer på hundrevis av millioner mot selskaper som bryter regelverket. Virksomhetene plikter å melde brudd på personopplysningssikkerheten, og Datatilsynet mottok over 2 300 slike meldinger i fjor. Flere forbrukere klager inn til oss, og sakte, men sikkert, ser vi at personvernvurderingene i nye lovforslag blir bedre.

Også domstolene har spilt en viktig rolle. Sommeren 2020 ble avtalen om overføring av data til USA kjent ugyldig av EU-domstolen i Schrems II–dommen. Grunnen var at overvåkningslovene i USA er så omfattende at europeernes data ikke er trygge over dammen. Domstolen satte også ned foten for datalagringsdirektivet, og innførte også en rett til sletting av søketreff som ga et skjevt bilde av virkeligheten. Nylig kom et lovforslag som styrket barns rettigheter overfor foreldre som vil dele bilder av dem på nett.

Nå er selvsagt ikke utviklingen på lovgivningsfronten entydig positiv. Vi har fått en rekke nye overvåkningsbestemmelser de siste ti årene, blant annet er det innført dataavlesing og det er fremmet forslag om masseovervåking av vår internettbruk. Men det positive er at debatten om personvern nå favner bredt.

Nå taler Tekna, Advokatforeningen og andre personvernets sak. Advarslene mot et overvåkingssamfunn kommer også fra kanskje noe uventet hold. Riksadvokaten skrev i sin høringsuttalelse til e-lov: «For vidtgående kontrollregimer vil før eller siden utfordre det alminnelige publikums tillit til kontrollørene og de systemene de representerer».

Avhengighet av amerikanske selskaper

I 2010 dominerte energisektoren i oversikten over verdens mest verdifulle selskapet. Tolv år etter kjemper de amerikanske bigtech-selskapene Apple, Microsoft, Alphabet og Amazon om pallplassen. Da Schrems II–avgjørelsen kom, ble europeiske virksomheter grepet av panikk, og avslørte hvor totalt avhengig vi har gjort oss av de amerikanske gigantene. Det er trist at ikke europeiske bedrifter står klare til å ta de markedsposisjonene gigantene nå mister. Naivt? Ja, kanskje, men veldig overrasket kan næringslivet neppe ha blitt. 2013 var en oppvåkning for mange, da Edward Snowdon avslørte massiv overvåkning av europeiske borgere. Det er de samme overvåkningsprogrammene som gjorde at EU-domstolen satte foten ned for ukritisk overføring av data til USA. Her har noen sovet i timen.

Og hva med forbrukerne? Kan vi ikke la være å bruke Facebook og Google? Nei, de har blitt en sentral del av livene våre og gir oss underholdende og nyttige tjenester. Jeg kjører bil, selv om det forurenser, og bilturen til hytta er det mest risikable jeg gjør. Jeg drikker øl og vin, selv om det er helseskadelig. Men trafikk og alkohol er strengt regulert, for å gjøre faren og skaden minst mulig. Det er slik vi må tenke overfor bigtech også.

Personvern og sikkerhet

I januar 2021 ble Østre Toten kommune utsatt for et stort dataangrep. Personopplysninger ble dumpet på det mørke nettet. Opprydningsarbeidet har vært enormt ressurskrevende. Stortinget har blitt utsatt for to fiendtlige angrep. Nylig ble også Nortura og Amedia rammet. Hva kan vi lære av disse sakene, for å redusere sannsynligheten for at man selv blir rammet? Et stikkord er risikovurderinger, og at man tetter de hullene man finner slik at løsningene og infrastrukturen der personopplysningene behandler, blir mest mulig robuste.

I 2011 påpekte vi store svakheter med sikkerheten i Østre Toten kommune, men lite ble gjort. Stortinget hadde selv avdekket svakheter i egne løsninger, og hadde besluttet å innføre tofaktorautentisering, men hackerne slo til før det ble gjort.

Det er lett å være etterpåklok, men det er mange norske bedrifter som ikke tar datasikkerhet på tilstrekkelig alvor. Konsekvensene kan bli fatale.

Og hva nå?

Personvernet vil garantert forandre seg mye de neste ti årene. Politikerne må regulere teknologigigantene, og Norge må gå foran. Vi må tørre å si nei til overvåkningsbasert markedsføring. De kollektive konsekvensene av overvåkning og sporing må bli en like naturlig del av samtalen som de kollektive konsekvensene av global oppvarming.

Økt diskriminering og overvåking rammer ofte de svakeste og utsatte gruppene. Lovgiver må utrede konsekvenser for personvernet, ikke som en papirøvelse, men i erkjennelsen av at det å unnlate kan få store konsekvenser for borgerne.

Og til slutt: Vi må fortsette å snakke sammen, vi som skal håndheve regelverket og de som potensielt kan bryte det. Personvern og innovasjon må gå hånd i hånd. Datatilsynets regulatoriske sandkasse må få permanent finansiering, og kanskje kan vi sammen skape et nytt, personvernvennlig Google. På norsk.

Denne teksten ble først publisert i DN.