I prosessen med å bli verdens mest digitaliserte land risikerer vi å få verdens mest overvåkede innbyggere.

I den norske debatten om personvern vises det gjerne til USA eller Kina når det er behov for eksempler på ukontrollert og inngripende overvåking. Nå holder det å se til våre naboland  for å finne disse eksemplene.

Hva skjer når du digitaliserer en velferdsstat og åpner døren på gløtt for de statlige etterretningstjenestene?

Svensken og dansken

Mye av grunnen til at velferdsstater som Norge, Sverige og Danmark fungerer godt, er at de har tilgang til store mengder digitaliserte data. Norge har mange statlige registre blant annet knyttet til helse, utdanning, arbeid, inntekt, velferdsytelser, straff, skatt og eiendom. Dette gjør det lettere å levere gode tjenester til innbyggerne. Men det har også en risiko. I en gjennomdigitalisert stat ligger potensialet for masseovervåking.

I Danmark pågår det nå en omfattende diskusjon om et nytt lovforslag. Forslaget gir etterretningstjenesten PET lov til å lage en analyseplattform der de kan samle data fra offentlige registre. Det kan for eksempel være informasjon om sykehusbesøk, kontakt med psykiatrien og sosialtjenester. De skal også kunne hente inn data fra sosiale medier – som hva folk skriver, liker og deler – og følge med på hvordan folk beveger seg på internett og i virkeligheten.

Ved hjelp av kunstig intelligens skal PET finne mønstre og peke på mistenkelig atferd. Mange er bekymret for at dette gjør at alle blir behandlet som potensielle mistenkte. Det kan føre til frykt for å ytre seg, og påvirke folks forhold og tilgang til velferdstjenester. Koplingen mellom registre, kunstig intelligens og overvåking er noe Danmark også tidligere har blitt kritisert for, blant annet i en rapport fra Amnesty.

I Sverige er det også snakk om mer overvåkning. Der ønsker myndighetene å gi sikkerhetstjenestene økt mulighet til å overvåke internettrafikk og pålegge meldingsapper å opprette en bakdør for å oppheve kryptering. «Nasjonal sikkerhetslagring» innebærer omfattende innsamling av borgernes datatrafikk ved behov. Målet er å bekjempe digital kriminalitet, men innsamlingen vil omfatte vanlige, lovlydige borgere.

Det er fristende å bruke informasjon som allerede er samlet inn til nye formål. Vi ser denne tendensen også i Norge.

Nye holdninger til bruk og deling av data setter personvernet under press i Norge

Fra fødsels- til dødsmelding, registreres norske borgere i utallige registre og vårt livsløp dokumenteres fra fosterstadiet på helsestasjonen, videre i barnehagen, skolen, helsetjenesten, arbeidslivet og NAV. Vi gir fra oss informasjon til staten som nødvendig ledd i å motta diverse tjenester og velferdsgoder. Opprinnelig har informasjonen vært organisert som små «øyer» i offentlig sektor, og kun vært brukt til det formålet som den ble samlet inn for. Men endringer har skjedd. I vår digitaliseringsiver har vi tilpasset oss en ny måte å forholde oss til data på: den har ofte stor verdi utenfor det opprinnelige formålet. Alle offentlige data anses mer og mer som et statlig felleseie.

Lisa Reutter, som er ekspert på datadrevet offentlig sektor, satte ord på det optimistiske forholdet vårt til offentlige data i en episode av Datatilsynets podkast: «Vi holder data atskilt slik at opplysninger samlet inn i én kontekst ikke skal ha noe å si i en annen. Men ideen om data som en muliggjørende teknologi, bidrar til å flytte grensene for hva vi aksepterer og synes er greit».

Sammenstilling av data skaper uklarheter

På Altinget har det i den siste tiden pågått en debatt om de såkalte individdataregistrene. De forslåtte registrene skal samle mye informasjon om barn i skole og barnehage – som fravær, prøveresultater, spesialundervisning, språkopplæring, foreldrenes bakgrunn og økonomisk situasjon. Disse opplysningene skal igjen kobles med data om foreldre og barnets videre liv, som utdanning, jobb, inntekt og helse, samt foreldrenes livsløp. Forskningen på registrene skal benyttes som kunnskapsgrunnlag for å skape en bedre skole. Datatilsynet har advart mot at store og sammenkoblede registre innebærer en endret maktbalanse mellom myndighetene og enkeltindividet, noe som kan påvirke tilliten til statlige myndigheter negativt.

Forbudet vårt mot Statistisk sentralbyrå (SSB) sin planlagte innsamling av data fra den norske befolkningens dagligvarekjøp i 2023 var et eksempel på det samme. Ideen om å koble bongdata opp mot sosioøkonomiske data slik som husholdningstype, inntekt og utdanningsnivå, var noe vi mente var et uforholdsmessig inngrep i norske borgeres privatliv.

Dette kommer i tillegg til utvidelsene av justismyndighetenes overvåking av borgerne de siste årene, med blant annet lagring av IP-adresser, passasjeropplysninger, Etterretningstjenestens overvåking av internettrafikk og senest PSTs hjemler til å overvåke åpne kilder. Når store deler av kommunikasjonen og kunnskapsinnhentingen vår skjer på digitale plattformer, vil summen av data som samles inn av offentlige og private aktører medføre et stort overvåkingspotensial. Ekstra bekymringsfullt er det når etterretningstjenester kjøper metadata fra apper på det uregulerte markedet, og når Kripos vil bruke private slektsdatabaser i etterforskning.

Alt dette bidrar til å skape uklarhet som forsterker de negative effektene av overvåking og kan svekke personvernet ved at legges press på å utforme tjenester med svakere beskyttelse. Alt dette ble på dramatisk vis satt på spissen i debatten og snuoperasjonen knyttet til sivilbeskyttelsesloven. En situasjon hvor personvernlovgivningen settes til side kan få alvorlige konsekvenser for samfunnet. Det å innføre økte kontrolltiltak på for eksempel internett eller ansiktsgjenkjenning i det offentlige rom vil innebære en svekkelse av sivilsamfunnet. Kontrollmekanismer blir også satt under press i krisesituasjoner. Det er ingen tvil om at Datatilsynet opplevde det svært krevende å si nei til Smittestopp-appen under Covid.

Overvåkingspotensialet i en gjennomdigitalisert stat

At hvert enkelt tiltak kan aksepteres som et nødvendig inngrep i personvernet, kan isolert sett fremstå tilforlatelig. Advokatforeningen har i en kronikk påpekt dilemmaet under overskriften «Jeg vil svekke rettsstaten – gi meg en hjemmel!». Det at nye tiltak hjemles, begrenser ikke nødvendigvis skadevirkningene av selve inngrepet. Mulighetene og hjemlene for sammenkobling av ulike offentlige registre eller private datasett gjør uforutsigbarheten for den enkelte desto større.

Det er godt dokumentert at økt overvåkingstrykk påvirker vår ytre frihet, hvordan vi lever, kommuniserer og bruker tjenester. Enda mer bekymringsfullt er at den også truer vår indre frihet – mange begynner å føle seg overvåket hele tiden. Det er ikke uten grunn at den nye KI-forordningen forbyr bruk av kunstig intelligens som manipulerer folk til å gjøre ting de ellers ikke ville gjort.

Datatilsynet vil advare mot et samfunn hvor all offentlig informasjon og private data samles og gjøres tilgjengelig for nye formål og bruksområder. Et demokrati kjennetegnes ved at det er borgerne som kontrollerer staten, ikke motsatt. Norge, Sverige og Danmark ligger fortsatt på topp på internasjonale demokratiindekser, men vi kan ikke ta slike målinger for gitt. Det fremstår som et paradoks at suksessen til de skandinaviske velferdsstatene – å bruke store mengder data til å levere gode velferdstjenester – kan gjøre oss ekstra sårbare.

Det kan være fristende å se til våre naboland når vi utformer politikk som skal løse fremtidens utfordringer. Men uansett om målet er velferd, forskning eller sikkerhet, er det viktig at politikerne er bevisst det enorme overvåkingspotensialet som ligger i en heldigital og gjennomregistrert stat.

Personvernundersøkelsen 2024, utført av analyseselskapet Opinion på vegne av Datatilsynet, gir innsikt i dette spørsmålet. Et landsrepresentativt utvalg på 1519 personer over 15 år svarte på undersøkelsen i januar i år.

Hvilke virksomheter har vi tillit til?

Undersøkelsen tok blant annet for seg folks holdninger til hvordan virksomheter håndterer personopplysninger. Respondentene fikk følgende spørsmål om tillit:  

Svarene viser at det er klare forskjeller mellom hvem vi har tillit til. Grovt oppsummert kan det sies at flere offentlige virksomheter nyter høy tillit når de behandler våre opplysninger, mens private virksomheter har mindre. De vi har minst tillit til er tjenestene som er levert av de store tekno-gigantene, slik som Google og Meta. 75 prosent har liten eller ingen tillit til hvordan søkemotorer oppbevarer og bruker personopplysninger på, mens 83 prosent har liten eller ingen tillit til hvordan sosiale medier gjør det.

Den lave tilliten til denne type tjenester kan ses i sammenheng med negativ medieomtale over flere år når det kommer til misbruk av brukernes personopplysninger. Eksempler på dette er Cambridge Analytica-saken fra 2018, og senest i år kom det frem at flere sosiale medie-tjenester brukte eller planla å bruke innholdet til brukerne sine for å trene kunstig intelligens.

Apper for spill og underholdning skiller seg også negativt ut. Spillindustrien, som nå overgår filmindustrien i inntjening, krever ofte omfattende mengder personopplysninger av spilleren for å opprette brukerkonto. I tillegg kan mange opplysninger bli samlet inn mens du spiller. Dette reiser viktige spørsmål om hvordan de ivaretar personvernhensyn, særlig med tanke på yngre spillere. At folk har lav tillit til disse kan tolkes som om at de er kritiske og uttrykker en sunn skepsis til hvordan slike tjenester behandler personopplysninger.

Fører manglende tillit til at vi faktisk endrer oppførsel?

Men hvordan påvirker tillit vår oppførsel på nett? Det kan være vanskelig å koble en holdning til en handling. For å grave mer i dette, spurte vi folk om de har handlet på en bestemt måte i tilfeller hvor de er usikre på hvordan deres opplysninger blir brukt.

På spørsmålet om hvorvidt folk har tatt grep eller unnlatt å gjøre noe på grunn av denne usikkerheten, er svaret  tydelig «ja» for store deler av befolkningen. 64 prosent har unnlatt å ta i bruk en tjeneste eller et produkt som følge av at vi er usikre på hvordan personopplysningene blir brukt, og 74 prosent har latt være å laste ned en app.

At folk ikke laster ned visse apper kan være et tegn på sunn skepsis. Mange apper samler inn mer informasjon om oss enn det som er nødvendig. Mange aktører videreselger også informasjon om oss til annonsører, for at de skal sende deg målrettet reklame.

Undersøkelsen gir et tydelig signal til kommersielle aktører: Hvis de ikke oppfyller brukernes forventninger til personvern, risikerer de at brukere lar være å ta i bruk tjenestene deres eller at de begrenser aktiviteten sin i tjenesten.

Ytringsfriheten på kommersielle plattformer?

Undersøkelsen viser at mange lar være å delta i meningsutvekslinger på nett fordi de er usikre på hvordan opplysningene kan bli brukt. En betydelig andel, 47 prosent, har unngått diskusjoner i sosiale medier og nettaviser, og 35 prosent har gått så langt at de har slettet en konto i sosiale medier. Dette kan potensielt påvirke den offentlige debatten i en tid preget av polarisering og meningssiloer. Mye av den offentlige meningsutvekslingen foregår på plattformer som mange er skeptiske til å bruke.

Kanskje mest bekymringsverdig er at 14 prosent, en ikke ubetydelig andel av befolkningen, har unnlatt å søke etter hjelp om sensitive problemer i en søkemotor. For mange er et enkelt søk på Google det første steget mot å få hjelp, og når tilliten til disse plattformene svikter, kan det få alvorlige konsekvenser.

Oppsummert viser undersøkelsen at det er varierende tillit til de forskjellige aktørene på nett, og at mange unnlater å ta i bruk forskjellige tjenester på grunn av usikkerhet rundt hvordan deres personopplysninger håndteres. Dette viser at tillit er avgjørende for hvordan vi bruker digitale plattformer og tjenester.  

Vi har alle sett den vennegjengen som går sammen, men med nesa ned i hver sin mobil. Eller de gjestene på den festen som følger med på siste oppdatering fra verden der ute heller enn å snakke med sidemannen.  Eller den kollegaen på møtet som taster som gal fremfor å vie sin fulle oppmerksomhet til det som blir sagt. Selv er jeg dessverre også ofte en av disse. Samtaleemnet blir det du ser på sosiale medier, hva noen har sagt,  gjort, ment eller følt. Men hvor er vi da, i et eller annet ekkokammer? Jeg, enheten, «dingsen» og teknologiselskapet – vi deler tiden sammen uansett hvor jeg går og er.

Én definisjon av digitalisering er introduksjonen av (ny) teknologi som skaper en forandring samfunnet.

Et oppgjør innenfra

For 5-6 år siden sluttet en rekke utviklere i Google og Facebook. De ønsket ta et oppgjør med det de selv har skapt (nrk.no). Google og Facebook har verdens største superdatamaskiner som, med god hjelp av deres algoritmer, er rettet mot og designet for å påvirke folks hjerner, ikke minst mot barn. I denne sammenheng kan vi snakke om «nevroteknologi», eller  om avhengighetsskapende teknologi. Her er en liste over hvordan de hadde kodet algoritmen for å påvirke oss:

• Vinne kappløp om å klare beholde oppmerksomheten vår 24/7 på skjerm og gjøre det vanskelig å logge av (medium.com). Forskning knytter dette til økt stress, angst, og mindre søvn.
• Trene barn i å erstatte egenverd med likes, oppmuntre dem til å sammenligne seg med andre, og skape en illusjon av å være utenfor/innenfor.
• Intensjon om å foretrekke virtuelle interaksjoner og belønninger på skjerm fremfor møter ansikt-til-ansikt.
• Belønne utagering og falske fakta, slik at vi ikke lenger riktig klarer å skille hva som er sant eller ei
• En følelse av å være en del av noe større (linkedin.com).

Vi ser at dette gjør noe med vår mentale helse, med våre barn, vårt sosiale fellesskap og vårt demokratiet (medium.com). Og vi ser at algoritmene har oppnådd formålet.

Vi vet at de store techselskapene samler inn personopplysninger om oss, hva vi mener, føler tenker, liker, kjøper, hvor vi går, og mye til.. Dernest sorterer de oss i kategorier, såkalt profilerering. De bruker det de har samlet inn til å fortelle oss hvem vi er, hva vi skal mene, hva vi skal tro, føle, stemme på, kjøpe osv.

Deres mål er å tjene penger, og de pengene tjener de på oss. Vi går fra å være subjekter i eget liv til å være objekter. Techselskapene profitterer, og sitter igjen med stor makt.

Et spørsmål om verdier

Menneskeheten har i alle år solgt og kjøpt til høyest mulig pris, det er ikke nytt. Det nye er at inntjening og salg styres direkte via digitale kanaler og med skjulte mekanismer – med større kraft og på en måte som vi enkeltpersoner ikke klarer å følge med på. Og kanskje er deres definisjon av politikk bygget på Paul Valérys (1871-1945) definisjon : «Politikk er kunsten å hindre folk i å blande seg opp i det som angår dem».

Min definisjon av politikk er noe slik: «felles vedtatte retningslinjer og føringer for hvordan vi ønsker styre samfunnet vårt og virkemidler for å sette dett ut i live». Retningslinjene for samfunnet skal hegne om våre felles verdier, verdier som vi nordmenn setter høyt.

Åpenhet om faktiske forhold er en slik verdi. Personvern er en annen verdi som folk flest setter høyt. Og kanskje er disse grunnverdiene årsaken til at vi nordmenn har så høy tillit til våre myndigheter.

Ny teknologi og digitalisering av tjenester kan skape et mer effektivt samfunn og gi oss et enklere liv. Det kan dessuten avdekke kriminalitet og løse helseutfordringer. Men samtidig har vi lover, og disse lovene må følges også i vårt digitale samfunn. Vi skal styre teknologien i riktig retning, det er ikke teknologien som skal styre oss. Våre politikere må også være politikere i vårt digitale samfunn.

Vi trenger en personvernpolitikk

En personvernpolitikk må gi overordnede føringer på en måte som gjør at du og jeg kan være trygge på og ha tillit til tjenestene, samt sikre minimumskrav til menneskeverd også i vårt digitale Norge. Skal politikken baseres på personvernprinsippene, rettighetene våre, frihetene våre? Og hva med prinsipper for ivaretagelse av nasjonal innovasjonskraft, prinsipper for datadeling eller prinsipper for integritet i offentlig sektor?

Vi er nå inne i det tredje året der Datatilsynet har en regulatorisk sandkasse for ansvarlig kunstig intelligens og personvern. Vi har så langt hatt ti ferdigstilte prosjekter i sandkassa. To prosjekter pågår i skrivende stund. Vi ser at innovasjon og personvern er verdier som det er fullt mulig å ivareta samtidig, og ser dessuten at kombinasjonen skaper tillit. Personvern må være innebygd i løsningene og tjenestene vi bygger. Sammen skaper vi tillit og menneskeverd i det digitale Norge.

Vi kan med trygghet si at algoritmene har innfridd på bred front, i mange tilfeller ikke til vårt beste. Likevel vil jeg avslutte med noe positivt: la oss ha store forventninger til digitaliseringsstrategien og personvernstrategien som regjeringen nå skal komme med. Jeg forventer at den er konkret og at også den innfrir!

Denne bloggen er basert på en innledning som jeg holdt på seminaret Menneskerettslige perspektiver i den digitale tidsalderen – Institutt for offentlig rett (uio.no) den 2.  mars.

Det fremgår av PSTs trusselvurdering for 2023 at de nå anser ekstreme miljøvernaktivister som en mulig risiko i det norske samfunnet. PST sin trusselvurdering danner grunnlaget for det arbeidet som de, og mange andre virksomheter, gjør for å sikre samfunnet vårt og egne verdier. PST og etterretningstjenesten er gitt kraftige virkemidler og digitale verktøy som skal gjøre de i stand til å møte det trusselbildet de til enhver tid har identifisert.

Ett av disse virkemidlene finner vi i forslaget til ny etterretningslov, hvor en av bestemmelsene som ligger på bordet åpner opp for tilrettelagt innhenting – masseinnsamling av informasjon og data om norske borgeres bevegelser i det digitale rom.

Sett opp mot det faktum at så og si alt vi gjør i dag skjer nettopp i det digitale rommet , og det faktum at trusselbildet er i stadig endring,  så er det grunn til å rope et varsko for personvernet.

Det dynamiske risikobildet som ligger til grunn for metoder og valg som myndighetene gjør tilgjengelige for politi og etterretning, gjør det umulig for oss borgere å ha oversikt og kontroll over når man kan bli overvåket, og når man går klar. For eksempel: «I fjor var jeg en ganske ufarlig miljøverner – i år er jeg en trussel.»

Personvern og ytringsfrihet under press

Den grunnleggende retten til en privat sfære, fri for andres blikk, er under press når samfunnets behov for sikkerhet blir ivaretatt ved å ta i bruk kraftige digitale overvåkningsverktøy. Dette truer våre grunnleggende menneskerettigheter.

Den Europeiske Menneskerettighetsdomstolen formulerte det slik i saken Roman Zakharov v. Russia (2015):

«In view of the risk that a system of secret surevilance set up to protect national security may undermine or even destroy democracy under the cloak of defending it, the Court must be satisfied that there are adequate and effective guarantees against abuse…»

Men det er ikke bare personvernet som er under press i dette bildet. Personvern og ytringsfrihet henger uløselig sammen. Uten personvern, ingen reell ytringsfrihet.

Slik digital masseovervåkning som nå blir løftet frem som verktøy mot ulike trusler, vil også kunne ha en omfattende nedkjølende effekt på ytringer.

Frykten for andres blikk gjør at vi justerer oss inn og demper våre ytringer. Dersom det i tillegg er statens blikk vi er usikre på om når oss, gjør det noe fundamentalt med samfunnet vårt.

Kanskje blir et brennende innlegg på Aftenpostens Si;D fra en miljøengasjert 12-åring det første digitale sporet som blir samlet inn av PST om et ungt og engasjert menneske?

Jeg lar det spørsmålet stå.

Press fra kommersielle aktører

Presset på grunnleggende menneskerettigheter kommer imidlertid ikke bare fra stater og myndigheter i en utrolig tid. Et åpenbart press kommer også fra kommersielle aktører.

En enorm Pacman i form store kommersielle markedsaktører som Google, Meta og Tik Tok saumfarer digitale flater og labyrinter for alt av data som kan være av interesse. Og alt er tilsynelatende av interesse og har kommersiell verdi.

Noen av dere husker sikkert den lille ballen med den store munnen som slukte alt den kom over på sin vei i sin digitale labyrint. Spillet var nærmest hypnotisk, husker jeg, og det var umulig å legge fra seg.

Slik er også tjenestene og produktene disse kommersielle aktørene sender ut i samfunnet – oppslukende og umulig å legge fra seg. Og vi legger igjen digitale spor fra første skudd – og vi er hekta. Jo lenger vi er på, jo mer data samles inn om oss.

På begynnelsen av 2010-tallet ble sosiale plattformer sett på som en nøytral fasilitator for utøvelse av rettigheter, både ytringsfriheten og informasjonsfriheten. Dette bildet har endret seg.  Det er ikke lenger mulig å se bort fra den enorme påvirkningen disse kommersielle plattformene har på politikk, samfunn og demokratiet.

Facebook og Tik Tok lever av å forutse, predikere og forme vår oppførsel og våre meninger. De gjør dette ved å samle inn enorme mengder data. Innsamlingen i seg selv legger press på personvernet, men også hvordan de bruker dataene er en trussel mot grunnleggende rettigheter som personvern, ytringsfrihet, meningsfrihet og informasjonsfrihet.

Når menneskerettighetene debatteres, må vi derfor ta inn over oss og ta med i vurderingene hvilken makt disse selskapene har. Vi har også endt opp med å mer eller mindre bevisst og stilltiende akseptere og tillate at disse store, kommersielle aktørene samler inn enorme mengder med data for kommersielle formål.

Og det er ikke bare den markedsføringsmessige interessen som ligger til grunn for denne omfattende innsamlingen av data.

Akkurat som Pacman så lever kunstig intelligens (KI) av data. Alle disse store aktørene utvikler og tar i bruk KI. Med det datagrunnlaget de har, som de færreste nasjoner eller andre aktører er i nærheten av å ha, så vil de bli – eller forbli – svært mektige premissgiverne for samfunnsutviklingen fremover.

Informasjonsfrihet og meningsfrihet under press

Pacmans innsamling og bruk av data setter jo åpenbart personvernet under press, men også informasjonsfriheten og meningsfriheten. For hvor frie er vi i meningsdannelsen og utviklingen vår, hvis vi risikerer å få presentert falske nyheter eller fakta som er tilpasset oss basert på algoritmer som er utviklet av Kina?

En ungdom jeg kjenner begynte å stille spørsmål ved om jødeforfølgelsen og Holocaust virkelig hadde skjedd. Vedkommende satt ved middagsbordet og stilte spørsmål ved vår tids største forbrytelse. Hen hadde sett på Tik Tok at det var mange som mente jødeforfølgelsen var oppspinn og at jødene skulle ta over verden. Hen hadde altså falt ned i et kanin-hull på Tik Tok. Et algoritmehull.  Dette er en ressurssterk 14-åring og hen har handlekraftige foreldre. Hen hadde sikkert kommet opp av det hullet uten hjelp også, men hen fikk klar og tydelig beskjed fra sine foresatte og mistet Tik Tok på mobilen før middagen var omme.  

Men ikke alle kommer opp av algoritme-hullet.

Hvordan sikrer vi at dagens barn og unge – fremtidens digitale borgere, de som skal forsvare og forvalte demokratiet vårt – kan utvikle seg og danne seg egne, frie meninger i en forsvarlig ramme, når Tik Tok og andre markedskrefter er premissleverandør?

Jeg lar også det spørsmålet stå åpent.

Vi må sikre kollektive mekanismer

Digital teknologi eksisterer ikke i et vakuum. Teknologien kan være et kraftig verktøy for menneskelig fremgang og bidra til å fremme og beskytte menneskerettighetene. Teknologien har gjort kommunikasjon og deling av informasjon enklere, og gjennom det styrket ytringsfriheten og muligheten til demokratisk deltagelse.

Men dataintensive teknologier bidrar altså samtidig til å skape et samfunn der både stater og kommersielle private aktører i økende grad er i stand til å spore, overvåke, analysere, forutsi og manipulere folks oppførsel på en måte vi ikke tidligere har sett.

Denne siden ved den teknologiske utviklingen medfører betydelig risiko for menneskeverd, autonomi og personvern og utøvelsen av menneskerettighetene generelt, hvis den får foregå uten relevante og adekvate motstemmer og sikkerhetstiltak. Vi må sikre kollektive beskyttelsesmekanismer. Lover, regler og krav til digitalisering og bruk av data og KI må på plass.

Hvis vi ikke klarer å sikre slike kollektive mekanismer nå, vil det være mye vanskeligere å få det på plass senere. Vi må sikre det kollektive gode i systemene vi nå åpner for og utvikler, før det er for sent.  

Teknologien er i seg selv nøytral, og utviklet og brukt riktig kan den gi store samfunnsmessige gevinster. Men uten en åpen, offentlig samtale, bevisste politikere og beslutningstakere og hensiktsmessig regulering og nødvendige kontrollmekanismer, for å sikre nettopp det kollektive gode, kan dette også bære galt av sted. 

Vi ser stadig at det legges en snever forståelse av retten til personvern til grunn i avveiningen mot forståelsen av for eksempel nasjonal sikkerhet, som på sin side defineres vidt. Menneskerettighetene er ikke mer robuste enn det vi som demokrati og samfunn gjør de til. Det er vi som må beskytte, verne og sikre rettighetene. Myndighetene må derfor ta konkrete grep for å adressere utfordringene som ligger i digitalisering, slik at vi bekrefter og sikrer menneskerettighetene.

Dersom myndigheter og politikere lar digitaliseringsbehovet og -utviklingen gå på bekostning av for eksempel personvernet, slik Personvernkommisjonen peker på at skjer, vil dette helt klart svekke både relevans og vekt av våre grunnleggende menneskerettigheter.

Det må vi ikke la skje.

Vi må stille krav til myndighetene, politikere og lovgivere om å ta hensyn til grunnleggende menneskerettigheter i digitaliseringen av det norske samfunnet. Ethvert digitaliseringsinitiativ må vurderes opp mot effekten det kan ha på personvernet, ytringsfriheten, retten til fri meningsdannelse og informasjonsfriheten.

I det store bildet så handler det om hvilket samfunn vi vil ha.

Innsamling av personopplysninger brukes i stor grad for å tilpasse innhold til den enkelte av oss på nettet. Internasjonale selskaper som Google, Facebook og Amazon lager målrettet og persontilpasset markedsføring basert på adferden vår på nettsteder og i apper. Profilene som lages om oss kan inkludere antagelser om kjønn, legning, helseopplysninger eller andre forhold. Muligheten til å kunne utfolde seg fritt og være seg selv, er en grunnleggende forutsetning for frihet. Et viktig premiss for denne friheten er en stat som anerkjenner hvert individs rettighet til å elske den man vil. Mangel på godt personvern kan legge begrensninger på denne friheten og true individets rettigheter.

Personvern betyr at den enkelte har en rett til å bestemme over personopplysningene sine. Det vil si alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Personvern har tett sammenheng med retten til privatliv. Med retten til privatliv har vi en rett til å leve slik vi selv ønsker – uten innblanding fra andre mennesker – så lenge vi ikke krenker andres friheter. Dette legger grunnlaget for å være fri til å være den vi er og å utfolde oss slik vi ønsker. Vi har alle en rett til å ha en privat sfære, et innerste rom hvor vi kan utvikle oss selv som mennesker. Vi trenger frihet og mulighet til å utforske, prøve og feile.

Retten til personvern er dessuten tett knyttet sammen med, og er en forutsetning for, utøvelsen av flere andre rettigheter og friheter. Det kan for eksempel være ytringsfrihet, foreningsfrihet og religionsfrihet. På denne måten er personvern også viktig for å sikre felles verdier og samfunnsengasjement i et demokratisk samfunn. Dersom personvernet er dårlig ivaretatt, kan det føre til at borgerne begrenser deltakelsen sin i meningsutvekslinger og politisk aktivitet. Et svakt personvern kan slik ha en nedkjølingseffekt på personers handlinger og deltakelse i samfunnet. Det setter demokratiet i fare.

For de fleste av oss vil det finnes opplysninger og informasjon om oss selv som vi ønsker å holde privat. Det betyr ikke at dette er opplysninger som bør hemmeligholdes. Poenget er at den enkelte selv skal kunne ha kontroll og bestemme hvilke opplysninger hen ønsker å dele med omverdenen. Du skal selv langt på vei kunne bestemme hvordan dine personopplysninger brukes, hvem du deler dem med, når du deler dem og på hvilken måte de deles. Personvern handler derfor ikke om hvorvidt du tenker at du har noe å skjule eller ikke, men om muligheten til å bestemme selv.

Mange deler informasjon om seg selv på sosiale medier. Det betyr likevel ikke at de deler alt om seg selv eller at de nødvendigvis ønsker at andre deler denne informasjonen videre. Kanskje er det enkelte ting de ønsker å fortelle vennene sine, men som de ikke vil dele med kolleger eller familie. Dette kan være spesielt krevende for mennesker som er utforskende rundt egen kjønnsidentitet og seksuell legning, og som bruker nettet til å finne svar på spørsmål eller komme i kontakt med likesinnede. Å kunne gjøre det uten frykt for at de skal bli overvåket eller at informasjonen blir delt med uønskede personer, er viktig.

Har du tenkt på hvorfor du og personen som sitter ved siden av deg på bussen får opp ulike annonser når dere åpner sosiale medier eller nettaviser? Overvåkingsbasert markedsføring betyr i mange tilfeller at det brukes algoritmer som er basert på kjønnsstereotyper eller rigide oppfatninger om hvilke interesser personer med en bestemt seksuell legning har. Algoritmene kan diskriminere slik at du for eksempel ikke blir presentert for informasjon som kunne vært relevant for deg, mens andre får se den. Kanskje går du glipp av et godt tilbud, en god artikkel, eller en stillingsutlysning du er interessert i, fordi algoritmene «tror» du er interessert i noe annet ut i fra det de er programmert til.

Opplysningene som samles inn om oss kan dessuten også brukes på en slik måte at informasjon om oss blir avslørt uten at vi selv har valgt å dele den. Store tek-selskap bruker personopplysninger til å beregne sannsynligheten for at du er interessert i et spesielt tema, hvilket kjønn du er eller hvilken legning du har. Denne informasjonen kan samles inn blant annet ved å se på hva du trykker «liker» på, hvilke nettsider du besøker, hvilke artikler du leser eller hvilke varer du kjøper. Vi mener det er grunnleggende viktig med en trygg digital hverdag hvor personvernet til den enkelte blir respektert og hvor vi har rom til å utvikle oss og utforske ulike sider ved oss selv, inkludert legning og kjønnsidentitet.

Til syvende og sist handler det om din frihet og din rett til å bestemme selv.

Denne kronikken ble først publisert i Dagsavisen 17. juni 2022.

Ståle Lindblad sparker i alle retninger i innlegget sitt mot Datatilsynet og Facebook-rapporten vi publiserte. Ikke bare er han uenig i de faglige vurderingene våre og konklusjonen vi kommer frem til som behandlingsansvarlig. Han mener også at rapporten avdekker «fullstendig mangel på kompetanse» hos landets personvernmyndighet, og at rapporten er verdiløs.

Vi mottar gjerne innspill om hvordan vi kan forbedre oss. Anklagene hans om at vi lider av fullstendig kompetansemangel fremstår imidlertid som useriøse, uprofesjonelle og ikke minst uholdbare. Når anklagene er så svakt faglig forankret som de er, er det vanskelig å la dem bli stående helt uimotsagt.

EU-dommer viser felles behandlingsansvar

Lindblad foretar ingen grundig analyse av dommene, og han trekker heller ikke inn andre rettskilder. Vi mener han har utelatt sentrale deler av dommene fra innlegget sitt.

EU-domstolen har sagt at man har felles behandlingsansvar for behandling av personopplysninger om brukere av en Facebook-side. Videre peker domstolen på at denne behandlingen innebærer at opplysningene om sidens følgere og besøkende brukes til å forbedre Facebooks markedsføringssystem. Vi vet ikke med tilstrekkelig detalj hvordan dette skjer eller hva det innebærer, og vi synes ikke at vi kan underslå denne uvissheten. Dette er bakgrunnen for vurderingene vi har gjort som behandlingsansvarlig.

Vurdering og dokumentasjon

Lindblad sier at vi mener og synser uten dokumentasjon. Slik er det ikke. Vi har gjort en grundig vurdering der vi har innhentet informasjon, beskrevet verktøyet systematisk og vurdert dette opp mot kravene i loven. Det er ingen tvil om at vi, gjennom DPIA-en vår, har dokumentert at vi faktisk ikke vet nok om hva som skjer med dataene til Facebook-brukere.

Uansett er det ironisk at Lindblad prøver å kontrastere «enkle» Facebook med kunstig intelligens, når vi vet at selskapet bruker kunstig intelligens i utstrakt grad, og har de kraftigste algoritmene i verden med størst CPU.

Vi vet at mange virksomheter legger mye jobb i egne risikovurderinger. Den etterfølgende debatten åpner for en rekke spørsmål og dilemmaer om teknologi, jus, etikk og samfunn. Antallet perspektiver man kan «forstå» Meta på, fra behandling av data til demokrati, sosiale relasjoner eller mental helse, er mange. Vi ser generelt at personvernperspektivet og ansvaret den enkelte virksomhet har, nå kommer tydeligere fram. Det er bra, og vi imøteser alltid en saklig debatt.

På lørdag skrev Øyvind Husby at Datatilsynet bommer om felles behandlingsansvar ved bruk av Facebook-side. Han sier dette er problematisk fordi vi som tilsyn forventer at vår vurdering skal være en mal for andre.

Vi har vært tydelige på at vi ikke opptrådte som tilsyn da vi vurderte vår bruk av Facebook. Vi har presisert at man ikke trenger å bruke samme metode som oss og at alle må gjøre sine egne vurderinger.

Misforstått

Når det gjelder jussen, ser Husby ut til å tro at det må foreligge en eksplisitt avtale om formål og midler for at felles behandlingsansvar skal inntre.

I Wirtschaftsakademie- og Fashion ID-dommene som Husby peker på, forelå det ingen enighet mellom partene. Partene brukte dessuten personopplysninger til litt ulike ting. Likevel konkluderte EU-domstolen med felles behandlingsansvar. Begge parter bidro nemlig til innsamling av data og å sette rammene for behandlingen, samtidig som de hadde en felles økonomisk interesse. Det er dette vi har lagt til grunn i våre vurderinger.

I førstnevnte dom finner vi uttalelser om omfanget av felles behandlingsansvar for Facebook-sider. Vi er enige med IKT-Norge i at man ikke har ansvar for alt som skjer på Facebook, men basert på dommens ordlyd kom vi frem til at omfanget av felles behandlingsansvar er videre enn hva Facebook legger opp til i sitt avtaleverk. IKT-Norge ser ut til å stole blindt på dette avtaleverket.

Huseby får det til å se ut som at vi står alene i vår forståelse, men vår tolkning er i tråd med retningslinjene til Personvernrådet, der alle 30 datatilsyn i EØS er medlemmer.

Vranglære

At andre er uenig i vår risikovurdering, er uproblematisk. Her prøver imidlertid IKT-Norge, et interesseorgan som representerer Facebook, å snu opp ned på det EU-domstolen har sagt om Facebook.

Det er skremmende, men ikke nytt.

Schrems II-dommen, som også gjaldt Facebook, sier litt forenklet at USA ikke har god nok beskyttelse av personopplysninger. Facebook har tolket seg bort fra dommen og sender derfor data fritt til USA likevel.

Vi vet at Facebook ofte gjemmer seg bak interesseorganer når de skal lobbe. Dette er vanlig taktikk i Brussel, og vi må være oppmerksomme på det samme her hjemme.

Udemokratisk

Husby avslutter innlegget sitt med å påpeke demokratisk deltakelse – og det er kjernen av problemet.

Facebook bestemmer hvem som får og ikke får se ulike budskap, basert på inngripende sporing som kan medføre nedkjølingseffekt. Nylige avsløringer viser at algoritmene premierer destruktivt og splittende innhold, og Facebook har blitt anklaget for å bidra til vold mot rohingyaene i Myanmar.

At Facebooks interesseorganisasjon skal definere demokratisk deltakelse, er mildt sagt problematisk.

Vårt mål er at Facebook skal respektere demokratiet og rettighetene våre. Det er trist at IKT-Norge har andre mål.

Dette innlegget ble først publisert i Dagens Næringsliv (02.02.22), og er skrevet av konstituert direktør Janne Stang Dahl og seksjonssjef Tobias Judin.

Datatilsynet har besluttet å ikke opprette en egen side på Facebook fordi usikkerheten til hvordan Facebook bruker disse dataene er for stor. I et innlegg den 13. oktober uttrykker Facebook overraskelse over at de ikke fikk bidra inn i vår vurdering og komme med utfyllende informasjon.

Her vil jeg forklare hvorfor vi både sa nei til Facebook, og til dialog under arbeidet vårt.

Facebook vet det meste om brukerne. De kjenner våre vaner, politiske oppfatning og hva vi spiser til middag. Med en Facebook-side ville vi bidratt til å fôre Facebook med informasjon om de som besøkte siden vår. Et «liker»-trykk på en artikkel der vi uttrykte skepsis til et nytt overvåkningstiltak, ville blitt en del av brukerens digitale tvilling på Facebook. Vi stilte oss dette spørsmålet: Kan vi forklare besøkende på vår side hva Facebook brukte opplysningene deres til? Svaret på spørsmålet er ganske enkelt nei. Vi ville heller ikke klart å oppfylle vilkårene i personvernforordningen om å ha kontroll på dataflyten.

Burde vi hatt dialog med Facebook som del av vår vurdering? For oss var det viktig å gjennomføre vurderingen som en hvilken som helst annen virksomhet. Vi tok samme utgangspunkt som en liten kommune, eller nettbutikken Garn & Tråd. Vi ønsket ikke særbehandling. Men Facebook er en lukket bok. De deltar sjelden i den offentlig debatten, inngår ikke særavtaler med enkeltvirksomheter, og opererer etter prinsippet «aksepter vilkårene, eller kom deg ut».

Facebook påpeker at de gir brukerne kontroll over eget innhold. Som alltid sier de at de ikke «selger personlig identifiserte data til tredjepartsaktører». Nei, Facebook vil helst ha dataene selv – men de tar betalt for at andre kan utnytte dem. Om min profil har navnet mitt øverst, er irrelevant. En analyse av min profil viser at Skeid er mitt favorittlag, og at jeg har en Maine Coon-katt. Det er mulig jeg tar feil, men jeg er trolig den eneste i verden som har disse to interessene. To opplysninger er altså nok til å identifisere hvem jeg er, selv uten navnet mitt som identifikator. I gjennomsnitt kan 68 registrerte «liker»-klikk fra en Facebook-bruker forutsi hudfargen deres med 95 % sikkerhet, og deres oppgitte seksuelle legning med 88 % sikkerhet.

Å fortsette å skjule seg bak frasen om at Facebook ikke selger data, er meningsløs.

Når det gjelder de andre tiltakene de ramser opp, er det snakk om hvordan brukerne kan kontrollere og få tilgang til egne data – men bare til en viss grad. Vurderingen vår er imidlertid mye videre. Vår konklusjon er at vi ikke vet hva Facebook bruker dataene til. Her er selskapet veldig vagt, og sier på sedvanlig vis at de etterlever regelverket, og at de har gjort alle sine avtaler tilgjengelig.

I vår vurdering har vi også lagt betydelig vekt på at vår tilstedeværelse på Facebook kan bidra til å legitimere lovligheten av Facebook. Omdømme har også vært sentralt. Facebook var dypt involvert i Cambridge Analytica-skandalen, og nylig sto en varsler fram og fortalte om svært kritikkverdige forhold i selskapet. Uten å ta stilling til riktigheten i sistnevnte påstander, er jeg glad for at Datatilsynet i dag ikke har en Facebook-side.

Facebook har nå vist en åpen linje ved å ty til noe så sjeldent som å skrive en kronikk. Jeg håper de fortsetter å vise samme åpenhet og svarer på disse spørsmålene:

– Hva bruker Facebook dataene som samles inn via en Facebook-side til? Hvordan profileres for eksempel ungdom som trykker «liker» på Helse Norges side der unge kan bestille kondomer?

– Helt konkret: Hvordan gir Facebook forståelig og meningsfull informasjon om hvordan disse opplysningene brukes?

– Hvordan vil Facebook bidra til at norske virksomheter kan oppfylle kravene i regelverket om å forstå og beskrive behandlingen?

– Hvordan er kravet om innebygd personvern ivaretatt av Facebook?

Vi møter gjerne Facebook til diskusjon. Vi vil stille dem spørsmålene over. Men mange vil ha betydelig interesse for svaret, som jeg håper de offentliggjør.

Denne teksten ble først publisert på kommunikasjonsforeningens nettsider 23.09.2021.

Jeg kaster her ut et kjøttfullt ben som jeg håper kan bidra til å øke bevisstheten og skape debatt om det offentliges bruk av sosiale medier.

Bindinger til big tech er regelen snarere enn unntaket. Ved å bruke gratis tilgjengelige verktøy fra de store teknologiselskapene, inviterer offentlige virksomheter kommersielle aktører til å samle inn og bruke data om norske innbyggere. Samtidig skapes det et avhengighetsforhold som det kan bli vanskelig å fri seg fra, ettersom det finnes få alternative tjenestetilbydere.

Vi må passe på at det samme ikke skjer med retorikken: at offentlig sektor blir for avhengig av argumenter som forsvarer deres tilstedeværelse på Facebook, Twitter, LinkedIn og co, samtidig som de unnlater å reflektere over egen tilstedeværelse i kanalene og tenke alternativt. Hardt arbeid og tøffe beslutninger ligger forut. Det er først når man forsøker å fri seg fra lenker, man kjenner hvor krevende det kan være.

Tyskland går foran

Det offentlige myndigheter gjør, har en signaleffekt. Datatilsynet befinner seg i en merkelig situasjon. Som en moderne virksomhet digitaliserer og effektiviserer vi oss i takt med samfunnet. Samtidig skal vi være garantist og fremste beskytter av personvernet i Norge. Dermed står Datatilsynet i en snodig skvis i spørsmålet om vi bør bruke sosiale medier i vårt eget kommunikasjonsarbeid. Et par tilfeller fra våre kolleger i Tyskland er interessante.

I januar 2020 valgte en av de tyske datatilsynsmyndighetene å slette sin konto på Twitter. To EU-dommer, og personvernregelverkets krav til å avklare såkalt felles behandlingsansvar, var blant årsakene. Tilsynet konkluderte med at de ikke lenger var på trygg, juridisk grunn. Samtidig kom de med noen minstekrav overfor andre offentlige myndigheter som benytter sosiale medier i delstaten. I dag sverger vårt tyske søstertilsyn selv til den desentraliserte mikrobloggingstjenesten Mastadon når de kommuniserer med sine innbyggere.

Regelverket (GDPR) og rettspraksisen som avgjørelsen hviler på, vil være både direkte og indirekte bindende for Norge. EU-dommene Wirtschaftsakademie og Fashion ID fastslår at den som oppretter en Facebook-side, vil være felles ansvarlig med Facebook for behandlinger av personopplysninger på siden.

Da dommene falt, var vi i Datatilsynet selv allerede i dypt inne i vurderinger om egen bruk av sosiale medier.

Må ha orden i eget hus

Bruk av sosiale medier reiser flere viktige tekniske, juridiske og etiske spørsmål. Et knapt år etter at GDPR trådte i kraft, satte vi selv i gang med et ambisiøst prosjekt som bidrar til å belyse disse spørsmålene. Mandatet fra ledelsen var ikke å vurdere om vi skal gå ut av Twitter. Vi skulle vurdere å gå inn på Facebook.

Med innføringen av personvernforordningen, eller GDPR, i 2018, har vi fått et strengt og teknologinøytralt regelverk som plasserer plikter og ansvar på alle som behandler personopplysninger. Regelverket stiller krav til alle som behandler personopplysninger, og til formidlingen av rettigheter og informasjon om behandlingen. Forordningen handler i bunn og grunn om å ha orden i eget hus.

Et viktig verktøy for å sikre at personvernet til brukerne som er registrert i en løsning ivaretas, er å gjennomføre risikovurderinger og vurdering av personvernkonsekvenser. Det er dette verktøyet Datatilsynet nå har brukt i vurderingen av Facebook, og som har munnet ut i en ny rapport.

Legitimerer overvåkingsøkonomien

Vår vurdering er på mange måter et bidrag til en analyse av overvåkingsøkonomien. Kommunikasjon i sosiale medier vil av natur alltid inneholde personopplysninger. De store teknologigigantene går ut av sin vei for å gjøre det enklest mulig å kommunisere på plattformene deres. Tilsynelatende triviell kommunikasjon medfører ofte en omfattende behandling av personopplysninger. Jeg mener at et av de mest innsiktsfulle perspektivene å forstå disse plattformene på, er fra et personvernperspektiv.

Det er lettere å ta stilling til teknologi når vi forstår den bedre. Hva slags opplysninger samles inn fra Facebook-siden? Hvor lenge vil opplysningene lagres i Facebook-systemet? Hva er behandlingens geografiske omfang? I en teknisk kartlegging gjorde vi rede for behandlingens art, omfang, formål, sammenheng, kilder og mottakere, samt løsningens informasjonssikkerhet.

Kartleggingen «tvinger» en til å beskrive og ta stilling til en rekke forhold ved en databehandling som påvirker den enkeltes personvern, rettigheter og friheter. Ved å kommunisere gjennom en side på plattformen, bidrar vi til å opprettholde og legitimere denne økonomien.

Nye regler skulle skape endring

De store teknologiplattformene har lenge vært et vanskelig juridisk terreng. De setter standarden selv: «Godta vilkårene våre i sin helhet, eller la være å bruke tjenesten». De fleste tar ikke stilling til nye personvernerklæringer når det kommer oppdateringer, og har kanskje heller ikke sett på den gamle. Facebook kan når som helst endre sine vilkår.

GDPR ble innført for å endre. Hvor lenge kan vi akseptere denne rollefordelingen?

La oss se på enda et tilfelle fra Tyskland. Før sommeren gikk det føderale datatilsynet (BFDI) ut og gav offentlige myndigheter beskjed om å slette Facebook-sidene sine innen nyttår. Dette blant annet som følge av Schrems II-dommen spesielt og mangel på etterlevelse av EUs personvernlovgivning generelt. Offentlige myndigheter skal gå foran som et godt eksempel, sier de.

Et spørsmål om verdier

Bruk av sosiale medier gjør at ulike verdier kommer i konflikt med hverandre. Personvern må ofte balanseres mot interesser av vidt ulik karakter. Datatilsynet har, som resten av offentlig sektor, et viktig informasjons- og kommunikasjonsbehov. Samtidig har vi plikt til å informere om et stort og komplisert regelverk. Vi er ombud for én av de viktigste verdiene i et informasjonssamfunn.

Den enkelte står fritt til å bruke sosiale medier og ta stilling til personvern etter eget skjønn. Som offentlig aktør og rollemodell for personvernet, må vi i Datatilsynet ta mer allmenne hensyn og oppfylle våre plikter. Som tilsynsmyndighet følges vi med argusøyne når det gjelder loven vi selv håndhever. I vårt interne hierarki av verdier, er det selvsagt at personvernet troner øverst. Det går på bekostning av for eksempel Google Analytics, Youtube – og nå Facebook.   

Vårt tyske søstertilsyn hoppet over til plattformen Mastadon. Kanskje en emigrering til alternative kommunikasjonsverktøy er den eneste måten vi kan tilbakevise argumentet om at myndighetene må være der folket er? Jeg skulle ønske jeg kunne vise til et mer attraktivt alternativ.

Norge går nå inn i en intens valgkampperiode fram mot valget 13. september. Datatilsynet har derfor sendt et brev til alle de politiske partiene som sitter på Stortinget, med råd om hvordan de skal behandle personopplysninger i valgkamp.

Åpent brev til de politiske partiene

Målet med brevet er å gi veiledning om hvordan de politiske partiene kan ta personvernhensyn, spesielt med tanke på profilering av velgere og målretting av politiske budskap på digitale plattformer.

Les brevet som ble sendt til de politiske partiene i sin helhet (pdf)

Målretting av politiske budskap er ikke nødvendigvis ulovlig eller problematisk. Regelverket setter imidlertid klare krav til at det skal gjøres på en måte som ivaretar den enkeltes personvern. Dette gjelder ikke bare politiske partier, men alle som annonserer på sosiale medier og andre digitale plattformer.

I rapporten «På parti med teknologien» kartla Datatilsynet hvordan politiske partier målretter budskap mot velgere. Dette gjøres blant annet ved annonsering på digitale plattformer, og i form av direkte velgerkontakt ved husbesøk og ringekampanjer. Ett av funnene var at norske partier var varsomme i bruken av mikromålretting av politiske budskap. Samtidig ga mange av partiene uttrykk for at de stoler på at tjenestene, appene og verktøyene de bruker, er i tråd med personvernregelverket. De gjør derfor ikke egne vurderinger. 

Mange digitale plattformer (slik som Facebook og Google) tilbyr attraktive måter å nå velgere på. Det er imidlertid partiene selv som er ansvarlige for å ivareta personvernet til dem man vil nå frem til.

Datatilsynets råd ved målretting av politiske budskap

Datatilsynet erfarer at alle partiene benytter sosiale medier i en eller annen form i valgkampen. Dette innebærer behandling av store mengder personopplysninger. Vi har derfor gitt følgende råd til de politiske partiene:

• Bli kjent med personvernprinsippene: All behandling av personopplysninger skal skje i tråd med personvernprinsippene. Dette betyr blant annet at behandlingen må være lovlig, rettferdig og gjennomsiktig.
• Vær åpen om hvordan personopplysninger blir brukt: Gi god informasjon om hvilke opplysninger som samles inn, hvor opplysningene er samlet inn fra, til hvilke formål de ersamlet inn og hvem (hvilke tredjeparter) som har tilgang til informasjonen. Målretting av politiske budskap uten informasjon om hvilke opplysninger som ligger til grunn for målrettingen kan være ulovlig.
• Vær bevisst på hvilke typer opplysninger som behandles: Politiske oppfatninger er definert som en «særlig kategori» av personopplysninger i personopplysningsloven. Det er i utgangspunktet forbudt å bruke slike opplysninger uten gyldig samtykke. Dette gjelder også profilering og analyser knyttet til hva individuelle velgere sannsynligvis vil stemme. Dette betyr at informasjon må generaliseres og ikke rettes mot enkeltpersoner.
• Begrens innsamling og bruk av personopplysninger til det som er nødvendig for å nå formålet: Ikke samle inn flere opplysninger om gruppen som skal nås enn det som er nødvendig for å målrette budskapet.
• Vær obs på hva slags informasjon som samles inn ved for eksempel husbesøk eller ringeaksjoner: Det bør ikke registreres personopplysninger om velgere partiene har vært i kontakt med uten informert samtykke eller annet rettslig grunnlag. Digitale verktøy som brukes i forbindelse med husbesøk og ringeaksjoner, kan for eksempel ha fritekstfelt hvor valgkampmedarbeidere registrerer mer informasjon enn det er rettslig grunnlag for å behandle.
• Ha oversikt over hvilke opplysninger som samles inn på nettsidene: Rydd i hvilke informasjonskapsler (cookies) som er installert på nettsidene. Slett de som ikke er nødvendige. Informasjonskapsler som ikke brukes aktivt, kan likevel videresende informasjon om nettsidens brukere til for eksempel Facebook og Google.
• Ha kontroll på tredjeparter: Lag databehandleravtaler når tredjeparter behandler persondata på partienes vegne. Dette vil tydeliggjøre ansvarsforholdet når politiske partier kjøper tjenester fra eksterne leverandører.
• Personvernombud: Datatilsynet oppfordrer også partiene til å opprette personvernombud. Et ombud er en ressursperson som kan styrke partiets kompetanse om personvern og gi råd, både med tanke på valgkampen og all annen behandling av personopplysninger.

Hva skjer i Europa?

Det europeiske personvernrådet (European Data Protection Board) har også kommet med veiledning om målretting av budskap ved politiske valg. De mest relevante retningslinjene og uttalelsene om bruk av personopplysninger i politisk valgkamp er:

• Statement 2/2019 on the use of personal data in the course of political campaigns
• Guidelines 08/2020 on the targeting of social media users

Hovedbudskapet er at politiske partier må ha gyldig rettslig grunnlag for å målrette politisk reklame. De slår også fast at informasjon om en persons politiske ståsted i utgangspunktet er ulovlig å behandle, med mindre de kan vise til et unntak fra forbudet. Videre konstaterer rådet at det er høy risiko for at det blir behandle informasjon om en persons politiske ståsted hvis det benyttes digitale verktøy for å mikromålrette politiske budskap.