1. Kan vi bruke personopplysninger i KI-løsningen?

Et spørsmål som går igjen i Datatilsynets sandkasse er: Har vi lov til å bruke personopplysninger i løsningen vår?

Svaret er som regel: Det kommer an på.

For at behandlingen av personopplysninger skal være lovlig, må virksomheten ha et rettslig grunnlag, også ved utvikling av kunstig intelligens. Dette er i tråd med personvernforordningen artikkel seks.

Kunstig intelligens omfatter ofte flere faser: utvikling, anvendelse (bruken av selve løsningen) og etterlæring. Disse fasene kan overlappe, noe som gjør det krevende å avgjøre når én fase slutter og en annen begynner. Og selv om virksomheten har rettslig grunnlag for én fase, betyr det ikke nødvendigvis at dette grunnlaget dekker andre faser.

Vi møtte på denne problemstillingen sammen med NAV – i et av de første sandkasseprosjektene våre. Her kom vi frem til, at NAV hadde hjemmel i folketrygdloven til å behandle brukernes opplysninger for å yte tjenester. Loven er derimot ikke tydelig på om de kan bruke historiske data om sykemeldinger til trening av algoritmene.

En annen viktig læring, er at det er viktig å identifisere hvilke data som faktisk inneholder personopplysninger. I sandkasseprosjektet med Juridisk ABC kom vi frem til at de kunne nytte lovtekster, forskrifter, forarbeider og lignende juridiske kilder i den generative KI-løsningen for arbeidsrett. Det var ikke krav om rettslig grunnlag ganske enkelt fordi kildene ikke inneholdt personopplysninger. Derimot inneholdt dommer og kjennelser ofte omfattende mengder personopplysninger – som kan være svært sensitive for de som er involvert. Derfor måtte Juridisk ABC ha et rettslig grunnlag for å inkludere disse i KI-løsningen.

2. Er anonymisering løsningen?

Flere av virksomhetene i sandkassen har ønsket å anonymisere personopplysninger. Anonymiserte data er jo ikke omfattet av personvernregelverket, så det kan forenkle mye. Men – det har i praksis vist seg krevende å få til faktisk anonymisering.

Til tross for betydelige fremskritt innen anonymiseringsteknologi, som skal hindre identifisering av enkeltpersoner i datasett, har det parallelt vært en utvikling av analyseteknologi som øker risikoen for re-identifisering. Mer offentliggjøring av offentlige data har også gjort det mulig å sammenstille flere datapunkter fra ulike kilder, hvilket øker utfordringen.

I sandkassen har vi sett flere eksempler på bruk av ny teknologi for å redusere risikoen for re-identifisering. Finansvirksomheten Finterai ville bruke føderert læring for å kunne dele innsikt fra transaksjonshistorikk mellom banker – uten å eksponere opplysninger som kunne knyttes til enkeltpersoner.

Teknologiselskapet Mobai hadde en lignende tilnærming, men benyttet homomorfisk kryptering for å gjøre re-identifisering vanskeligere. Ved hjelp av denne teknologien kunne aktører analysere krypterte personopplysninger uten at de måtte dekrypteres. Dette skjer ved at de bevarer de egenskapene ved personopplysningene som de ønsker å bruke, og fjerner resten.

Personvernfremmende teknologier, som føderert læring og homomorfisk kryptering, markerer viktige skritt i riktig retning for å få til godt personvern i praksis. De bidrar ikke bare til å redusere risikoen for re-identifisering av personer som er i et KI-datasett. De gir også virksomheter bedre muligheter til å balansere innovasjon med personvern og informasjonssikkerhet.

3. Kan kunstig intelligens bidra til dataminimering?

Prinsippet om dataminimering kan ved første øyekast virke som en motpol til kunstig intelligens. Kunstig intelligens trenger store mengder personopplysninger for å lære. Prinsippet om dataminimering slår fast at du skal samle inn minst mulig personopplysninger – kun det som er nødvendig for å oppnå formålet.

I flere sandkasseprosjekter har vi utforsket dette tilsynelatende dilemmaet. For eksempel har vi i sammen med sikkerhetsselskapet Doorkeeper sett på hvordan KI-baserte overvåkingskameraer kan minimere innsamlingen av personopplysninger. Blant annet kan de sladde mennesker i videostrømmen eller aktivere løpende opptak kun når en spesifikk hendelse utløser det. Vi har også diskutert situasjoner man ikke vet hvilke opplysninger som er nødvendige før de har analysert data over tid. Er det brudd på dataminimeringsprinsippet, om det i ettertid viser seg at personopplysninger har blitt behandlet uten å være relevante? Vi har utforsket problemstillingen i sandkassen, men som i mange andre tilfeller vil svaret avhenge av den konkrete konteksten.

4. Hvordan skaper algoritmer urettferdighet?

Helsesektoren har vært godt representert i sandkassen, blant annet gjennom prosjekter med Helse Bergen og Ahus. Disse har fokusert på KI-løsninger som skulle forutsi hjertesvikt og peke ut pasienter med fare for rask reinnleggelse på sykehus.

Kunstig intelligens i helsesektoren reiser viktige spørsmål om algoritmeskjevheter, som kan føre til at pasientene blir diskriminert. I begge prosjektene var KI-verktøyene ment som beslutningsstøtte og ikke for å gjennomføre automatiserte avgjørelser uten menneskelig innblanding. Likevel, det er en utbredt forståelse for at kunstig intelligens kan videreføre og forsterke eksisterende diskriminering i samfunnet. I tilfeller hvor algoritmene kommer til feil vurdering av folks helse, kan dette ha alvorlige konsekvenser.

I Ahus-prosjektet så de at dårlig datakvalitet og feil i datagrunnlaget potensielt kunne resultere i uriktige og diskriminerende resultater. Og de så på forskjellige metoder for å avverge dette.

For virksomheter som vil avverge algoritmeskapt diskriminering, har Likestillings- og diskrimineringsombudet en nyttig veileder om innebygd diskrimineringsvern. Den er rettet mot de som er ansvarlige for utvikling, anskaffelse og bruk av ML-systemer, og skal gjøre dem kjent med diskrimineringsregelverket, slik at de kan forebygge ved å vurdere diskrimineringsrisikoen teknologien medfører.

5. Hvem har ansvaret: utvikler eller kunde?

I flere sandkasseprosjekter har vi diskutert ansvarsforhold knyttet til behandlingen av personopplysninger i KI-løsninger: Hvem er behandlingsansvarlig? Hvem er databehandler? Og bør utviklere ta et større ansvar for å hjelpe virksomheter med å etterleve personvernregelverket?

En leverandør har ikke nødvendigvis et direkte ansvar for at kjøperne av produktet følger personvernregelverket, når løsningen blir brukt til å samle inn og behandle personopplysninger. Likevel bør de levere løsninger som legger til rette for at kunden, som ofte er å regne som behandlingsansvarlig, kan overholde regelverket i praksis.

I noen tilfeller kan det også være hensiktsmessig at utviklere eller leverandører tar på seg mer ansvar, for å sikre viktige personvernhensyn. Dette kan for eksempel være knyttet til tilgangskontroll eller informasjonssikkerhet.

Et eksempel på at utvikleren tar mer ansvar for å forbedre personvernet, ser vi i prosjektet med Secure Practice. Denne teknologivirksomheten hadde som mål å gi persontilpasset opplæring i cybersikkerhet. Sikkerhetsopplæringen var ment for ansatte i virksomheter, som ville kjøpe tjenesten fra Secure Practice. I tillegg ville ledelsen i disse virksomhetene få statistikk over ansattes kunnskaps- og interessenivå innenfor informasjonssikkerhet. For å kunne levere tjenesten uten at informasjon om ansatte kan misbrukes av ledelsen, drøftet deltakerne i prosjektet at det kunne være nødvendig å holde tilbake personopplysninger fra kunden. For at dette skulle være mulig, vurderte de en løsning med felles behandlingsansvar. Secure Practice og kunden vil da i fellesskap fastsette formålene og midlene for behandlingen av arbeidstakers personopplysninger.

Dette viser hvor viktig det er å avklare og plassere ansvarsforhold for å utvikle løsninger med godt personvern. Klare ansvarsforhold bidrar ikke bare til bedre etterlevelse av regelverket. Det kan også bidra til økt tillit mellom leverandører og kunder.

6. Hvorfor maser vi så fælt om at personvernet må tidlig på plass?

Har du hørt om innebygd personvern? Det er et prinsipp i personvernregelverket om at tekniske systemer og løsninger blir utviklet slik at personvernet blir ivaretatt. Poenget er å sikre at personvernet i systemet er gjennomtenkt, heller enn å forsøksvis bli klattet på til slutt. I den nye digitaliseringsstrategien slår regjeringen fast at alle relevante IT-løsninger i offentlig sektor skal ha innebygd personvern. Men hva betyr det i praksis?

Mange av virksomhetene har kommet til sandkassen med KI-prosjekter i konseptfasen. Erfaringen fra disse prosjektene er at tidlige veivalg har stor betydning for hvor lett eller vanskelig det blir å etterleve kravene i personvernregelverket. 

Flere eksempler fra sandkassen illustrer dette, spesielt når det gjelder lagring av personopplysninger for KI-formål. For eksempel kan lagring av store mengder personopplysninger sentralt på en felles server, gjøre dataene sårbare og øke angrepsflatene. Da må strenge organisatoriske og tekniske tiltak til for å sikre opplysningene, ettersom lagringen innebærer en større risiko for de registrerte. På en annen side kan desentralisert lagring – for eksempel ved kantprosessering (edge computing) – i visse tilfeller redusere personvernrisikoen. Det forenkler virksomhetens arbeid med informasjonssikkerhet.

Ett eksempel på desentralisert lagring er Doorkeepers løsning, der videostrømmen fra et overvåkingskamera ble sladdet direkte i kamerahuset før opptakene ble sendt videre til et brukergrensnitt. Et annet eksempel var et prosjekt med Ruter, som ønsket lokal lagring på brukernes egne mobiltelefoner i forberedelsesfasen til å utvikle KI.

Hvor data skal lagres, er neppe det første du tenker på etter å ha fått en ide om en genial ide. Å tenke på det tidlig nok kan riktignok spare deg for mye frustrasjon, og brukerne for risiko.

Dette er særlig relevant for virksomheter med begrensede ressurser – å utvikle løsninger som fra starten ikke krever omfattende tiltak for å oppfylle personvernregelverket. Å tilpasse ferdigutviklede løsninger i etterkant kan være både tidkrevende og kostbart.

Etter den første bølga med generative KI-verktøy som kunne gjere mykje artig, var 2024 året for integrerte KI-verktøy i systema vi allereie brukar. Slik som Microsofts M365 Copilot. Vi blir lokka med ein enklare og meir effektiv arbeidskvardag. Men det har også ein pris. Ikkje berre i kroner og øre.

Grundig kalkyle frå NTNU

Kva den prisen blir, er eit komplekst reknestykke. Så kva er vel betre enn at ein tung og truverdig aktør som NTNU tok på seg oppgåva med å rekne seg fram til eit svar. I god akademisk ånd gjekk dei grundig til verks. Og dei involverte oss i Datatilsynet ved å bli med i vår regulatoriske sandkasse. Det er eit veiledningtilbud, der vi kan gå djupare i materien – og ja, på ein måte vere meir løysningsorienterte – enn rammene tillet oss i tradisjonelle veiledningsformer.

Vi merka at mange «der ute» venta i spenning på vurderingane og erfaringane frå prosjektet. I slutten av november lanserte vi rapporten som ser på korleis ein stor offentleg aktør som NTNU eventuelt kan ta i bruk M365 Copilot.

Sjå rapporten «Copilot med personvernbriller på».

Før det hadde NTNU også laga ein rapport med viktige funn utover det reint personvernmessige, der dei tar for seg både forvaltning, opplæring, økonomiske kostnader og korleis eit slikt verktøy kan påverke organisasjonen og arbeidsmiljøet.

Sjå NTNUs funnrapport.

Forsiktig med den røde knappen

Hovedbudskapet er at verksemder bør vere varsame med å berre trykke på den røde knappen og ta i bruk dette eller liknande integrerte KI-verktøy utan å gjere grundige vurderingar i forkant, i tillegg til å sikre kontrollmekanismar og god opplæring av brukarane. For dette er kraftfulle saker.

Begge rapportane er pedagogisk oppbygd og delt inn i 8-9 funn eller hovedpunkt. Det er verdt å lese dei begge, men som ein appetittvekker, skal du få fem sentrale punkt her:  

1. Start med ein strategi.

Definer tydeleg kva verksemda ønsker å oppnå, kva områder som er aktuelle for KI-bruk og kva områder ein bør halde utanfor. Som hovedregel er generativ KI best når du allereie kan det du vil at den skal hjelpe deg med, du har kapasitet til å kvalitetssikre arbeidet, og er villig til å ta det heile og fulle ansvaret for feil i det den leverer.

2. Sørg for orden i eige hus.

Dette er superviktig. Copilot finn (og behandlar) all informasjon du har tilgang til. Det er godt muleg at du har tilgang til mykje meir informasjon enn du er klar over. Det kjem an på om verksemda di har stålkontroll, eller ikkje, på tilgangsstyring og alt som fins av personopplysningar i systema som blir brukt. Sjølv om lova krev at verksemder har stålkontroll – om enn i meir juridiske formuleringar – ville det vere naivt av Datatilsynet å ta for gitt – slik leverandøren av Copilot gjer – at absolutt alle faktisk har det.

Ei utfordring med Copilot er at svakheter i «den digitale grunnmuren» blir synlege og kraftig forsterka med eit verktøy som har tilgang til alt du har tilgang til – og veit å utnytte seg av det.

Eller for å ta den positive tilnærminga: premien til dei som har skikkeleg orden i eige hus, er at dei har ein langt kortare veg til å kunne ta i bruk integrert KI, som for eksempel Copilot.

3. Tenk grundig (og kreativt) gjennom kva som kan gå galt?

Brukarar vil dele alle typar data med, og bruke, generativ kunstig intelligens til det dei kan. Sånn er det berre. Er det muleg, vil det bli gjort. Det er viktig å ta med seg inn når ein skal gjere vurderingar av kva personvernkonsekvensar det vil få å ta i bruk eit slikt verktøy. Ein kan ikkje ta for gitt at folk berre brukar verktøyet slik sjefane har tenkt.

Og apropos sjefane: dette verktøyet kan brukast som bossware. «Kan» her som i teknologisk – ikkje juridisk – mulighet. La meg sitere frå NTNUs funn:

«arbeidsgivere kan vurdere ansattes prestasjoner og adferd basert på skriftlig innhold de har tilgang til, som filer, dokumenter, Teams-chatter, e-postkorrespondanse, Teams-innhold, følelsesreaksjoner (emojis), transkripsjoner fra møter med automatisk opptak, osv. Ansatte har ingen mulighet til å finne ut om en slik vurdering av dem selv har skjedd.»

NTNU oppdaga at det er lett å få verktøyet til å seie noko om humør og sinnsstemning til andre tilsette. Og:

«Når Copilot har for lite informasjon å jobbe med, kan det oppstå utfordringer med løgn og hallusinasjoner. Det er sannsynlig at Copilot kan «finne på» følelser for de ansatte, noe som gjør denne problemstillingen enda mer utfordrende.»

Ein kanskje litt kontroversiell tanke i NTNU-rapporten er å vurdere om for eksempel leiarar med personalansvar ikkje skal få tilgang til Copilot, mens tilsette «på gølvet» kan få det?

På toppen av det heile er dette eit verktøy i stadig endring – på godt og vondt. Feil blir fortløpande retta, verktøyet blir stadig justert, men nye funksjonar blir også stadig lagt til. Det gjer det utfordrande å forvalte. Det krev ei vaken IT-avdeling. Det krev masse opplæring. Og det krev disiplinerte brukarar.

Så sett frå eit personvernperspektiv; det er mykje som kan gå galt og mange ledd det kan svikte i. Og det er verksemda sitt ansvar å ha tenkt grundig gjennom alt.

4. Vurder alternative løysingar.

Viss nokon av blomstrane i bedet ser litt tørste ut, set du ikkje heile hagen under vatn. Då er vi tilbake til strategien. Kanskje held det med eit par meir spissa KI-verktøy, som gjer akkurat dei arbeidsoppgåvene det er (mest) behov for, i staden for dei integrerte som skal slurpe i seg det som fins av data i organisasjonen?

Det er definitivt verd å ta med i kalkuleringane, når arbeidet i organisasjonen skal effektiviserast, at det kan vere langt meir ressurskrevande å forvalte eit stort og komplekst verktøy, enn eit par små.

Og – kanskje litt pussig, men eit siste punkt:

5.  Ikkje hopp på KI-toget utan ein exit-strategi.

Ha ein klar plan for korleis verktøyet kan bli skrudd av, om nødvendig, før du slår det på.

Nederland har nyleg fraråda statlege verksemder å ta i bruk Copilot. Nokon vil kanskje påstå at vi i praksis gjer det samme. Men nei, teknologien har mykje bra i seg, og det handlar om å finne gode og praktiske tilnærmingar for å ta den i bruk på ein forsvarleg måte. Vår oppfordring er å gjere det i små og kontrollerte steg.

Men – dersom både dei som bygger KI-toget og passasjerane som kastar seg på er drevet av frykt for å ikkje vere fremst i toget, er det nok oppskrifta på ein ganske forutsigbar 💥 🙈

Arendalsuka vokser og vokser, og det er et uendelig antall arrangementer å velge mellom. Men hvordan velge riktig? Hvordan kan den personverninteresserte virksomhet sende sine beste menn og kvinner på riktig sted? Hvor bør den glade forbruker og bevisste borger gå for å bli en enda bedre utgave av seg selv?

I denne guiden lister jeg opp de viktigste personvernarrangementene. Det er ingen uttømmende liste. Mange andre arrangementer, som digitalisering, helse og transport handler også om personvern, selv om dette ikke er angitt som tema.

Norge anno 2030 (mandag 13. august kl. 20.00)

Det er vanskelig å spå om fremtiden, men det er oppgaven til panelet som skal snakke om hvordan ble vi et grønt, digitalt og smart samfunn. En ting er sikkert; mengden persondata vil være mangedoblet om 12 år, men kanskje har vi utviklet teknologi som gjør at personvernet kan ivaretas på en bedre måte enn i dag. Og mon tro om Facebook, Google og Amazon fremdeles er verdens største selskaper. Jeg kan vel si såpass at jeg slett ikke er sikker.

Arrangører er Tekna, og jeg sitter i panelet sammen med blant annet president i Tekna, Lise Lyngsnes Randeberg og Høyres Henrik Asheim, som leder finanskomiteen på Stortinget.

Se programmet her

Den digitale kommune – Best for deg? (tirsdag kl. 09.30–11.00)

Alle bor i en kommune, og vi er allerede fra før vi blir født brukere av kommunens tjenester. Kommune-Norge digitaliseres i stadig større fart, og enkelte steder har man en fremtidsvisjon om at vi får tildelt barnehageplass ved fødselen, og viktige kommunale tjenester skal tildeles uten søknad.

Dette er vel og bra, men det fordrer innsamling og analyse av enorme mengder data, også av sensitiv karakter. Vi har gjennom mange tilsyn de siste årene avdekket av mange norske kommuner slett ikke har kontroll på data de har om innbyggerne sine. Det er derfor grunn til å spørre om de er klare for den digitale revolusjonen.

Dette arrangement er en del av hovedprogrammet, og arrangerer i samarbeid mellom Datatilsynet, KS og Arendalsuka. Jeg sitter i panelet sammen med blant annet KS sin leder Gunn Marit Helgesen og direktør i Teknologirådet, Tore Tennøe.

Se programmet her

Kan man regulere internett? (tirsdag kl. 11.00–12.00)

Regulering av internett er en stor debatt i Norge og mange andre land. Hvilke muligheter har myndighetene til å regulere internett, og hva vil kreves for å kunne gjøre dette? Skal norske forbrukere kunne oppsøke alt man ønsker så lenge det er på internett, eller er det eller bør det være begrensninger for dette? Hvor går i så fall grensen?

Programmet for dette arrangementet er ikke klart enda, men fra Datatilsynet deltar juridisk direktør Jørgen Skorstad.

Arrangør er Kindred Group.

Skal roboter passe på bestemor? (tirsdag 14. august kl. 12.15–13.00)

Vi snakker ofte om at eldreomsorgen trenger varme hender, men varme hender kan også bli klamme hender. Bruk av velferdsteknologi har mange gode sider; folk kan bo hjemme lenger, de eldre kan føle at privatlivet deres i mindre grad blir invadert av andre og det kan gi større trygghet.

Dette er blant temaene vi berører når vi samles på Aftenpostens arrangement på Mediebåten, der teknologikommentator i Aftenposten, Joacim Lund, samler teknologieksperter til en samtale. Jeg faller neppe helt inn i den kategorien, men jeg vil utdype personvernperspektivene i denne viktige debatten.

Se programmet her

Sikkerhet, personvern og elleville vilkår i «smart»-produkter (tirsdag 14. august kl. 13.00–14.30)

Antall produkter som er koblet til internett er enormt, og økende. Det siste året har Datatilsynet blant annet behandlet saker knyttet til bruk av smartklokker for barn, og vi noterer samtidig med glede at den nye personvernforordningen legger opp til at det skal tas særlig hensyn til barns personvern.

Vi ser også at personvernspørsmål har blitt forbrukerspørsmål. Hvordan dataene våre behandles handler om deg og meg og oss.

Arrangementet er et samarbeid mellom Forbrukerrådet, Forbrukertilsynet (tidligere Forbrukerombudet) og Datatilsynet, og jeg deltar i panelet sammen med blant annet Forbrukerrådets direktør Randi Flesland, direktør i Forbrukertilsynet Elisabeth Lier Haugseth og statssekretær i Justis- og beredskapsdepartementet Sveinung Rotevatn.

Se programmet her 

Dine data i fremmede makters valgkamper? Hvordan skal personvernet beskyttes? (tirsdag 14. august kl. 17.00–18.00)

Hvordan utfordrer den teknologiske utviklingen personvern og menneskerettigheter? Har den endret offentlighetene våre? Og hvordan kan vi styre teknologien?
Dette er spørsmål vi skal snakke om på om tirsdag ettermiddag

Aftenposten er arrangør og det hele foregår på Mediebåten, der jeg deltar sammen med fagdirektør i Norges Nasjonale Institusjon for Menneskerettigheter, Anine Kierulf og Harald Stanghelle, redaktør i Aftenposten.

Se programmet her  (merk: ny tekst kommer)

Pasientens helsetjenester – mine og dine data? (onsdag 15. august kl. 08.30–13.30)

Det samles inn helsedata om oss hele livet gjennom. Dette er de mest sensitive dataene som finnes, samtidig kanskje de som kan gi størst samfunnsnytte. Men vet vi hva som egentlig skjer med mine og dine helsedata? Og hvordan utfordrer bruk av helsedata personvernet? Dette er blant de spørsmålene som skal diskuteres på dette mini-seminaret.

Arrangementet er i regi av e-Helsealliansen, Sørlandet Sykehus HF, Digin, Aust-Agder Fylkeskommune, Senter for e-helse/UiA, Egde Consulting AS. Fra Datatilsynet deltar seniorrådgiver og leder for helsegruppa, Camilla Nervik.

Se programmet her

Tilkoblede barn – hvordan kan vi sørge for at barn er trygge digitale forbrukere? (onsdag 15. august kl. 09.00–10.00)

I dag er TV-en smart, klokkene er smarte og leketøyene smarte og de kan snakke til barna våre. Men hvordan gjør vi barna digitalt smarte, når vi vet at det er svært vanskelig å vite hva man egentlig takker ja til? Vi stiller også spørsmål ved hvilket ansvar foreldre og næringslivet har i å oppdra barna til gode digitale borgere.

Arrangementet er et samarbeid mellom Forbrukertilsynet, Datatilsynet og Medietilsynet. I tillegg til direktørene for de tre tilsynene, møter vi representanter fra næringslivet for meningsutveksling og debatt. Blant deltagerne er Stian Barsnes-Simonsen fra Nordic Screens og Mari Midtstigen, redaktør i Aftenposten junior.

Som oppvarming anbefaler jeg kommunikasjonsrådgiver Guro Skåltveit sin blogg om manglende opplæring i digital dømmekraft

Se programmet her

Deit med Forbrukertilsynet, Datatilsynet eller Medietilsynet – spør oss om barn og digitale medier (onsdag 15. august kl. 10.00–11.00)

Hvem drømmer ikke om en deit med Datatilsynet? Nå er sjansen der! Utviklere, produsenter, distributører, innovatører, foreldre, barn og besteforeldre – alle er velkomne til å stille spørsmål til oss om markedsføring rettet mot barn, vilkår og innsamling av data.

Fra Datatilsynet møter du erfarne jurister, teknologer og samfunnsvitere. Deiter deles ut der og da etter førstemann-til-mølla-prinsippet.

Se programmet her

Hvordan gjøre cyber-Norge tryggere? (onsdag 15. august kl. 10.30–11.30)

2018 er året Norge får både et nasjonalt cybersikkerhetssenter og et nasjonalt senter mot cyberkriminalitet. Bakgrunnen for disse nyetableringene er den økende digitale trusselen. Nasjonal Sikkerhetsmyndighet står bak arrangementet, der vi blant annet vil diskutere om slike sentre vil hjelpe og om vi kan beskytte folk og virksomheter bedre enn i dag.

Mitt perspektiv blir selvsagt hva mer sammenstilling, analyse og bruk av data betyr for innbyggernes personvern. De andre deltagerne er avdelingsdirektør Hans Petter Pretorius i NSM, politiinspektør Hans-Petter Torgersen i Kripos og sikkerhetsdirektør Hanne Tangen Nilsen i Telenor.

Se programmet her

Skjeve data & slemme roboter: Hvordan gi kunstig intelligens moralsk kompass? (onsdag 15. august kl.11.45 –14.00)

Mennesket fases ut av stadig flere beslutninger. Intelligente maskiner vil i fremtiden bestemme om vi skal få trygd, lån og forsikring, og hva slags behandling vi skal få når vi blir syke. Dette har utvilsomt mange fordeler, men samtidig er det ingen grense for hvilke opplysninger som kan bli samlet inn og brukt i «det godes tjeneste».

Derfor er det viktig at vi allerede nå, i en tidlig fase av utviklingen stiller de riktige spørsmålene: hvilke rammer trenger vi for å kunne realisere mulighetene kunstig intelligens gir oss på en sikker og rettferdig måte? Hvordan håndterer norske virksomheter som har begynt å ta i bruk KI personvernhensyn?

Arrangementet er et samarbeid mellom Telenor og Datatilsynet, og består av tre deler: En innledning av Kommunal- og moderniseringsminister Monica Mæland, hard-talk mellom Arbeiderpartiets Torstein Tvedt-Solberg og Høyres Mari Holm Lønseth (ikke endelig avklart). Deretter skal et ekspert-panel bestående av bl .a. IT-direktør i NAV Torbjørn Larsen, Ruters direktør Bernt Reitan – Jenssen og meg selv diskutere temaet.

Som en oppvarming anbefales Datatilsynets rapport om kunstig intelligens og personvern (januar 2018)

Se programmet her

Kunstig intelligens, sikkerhet og fremtidens teknologi i et globalt og inkluderende samfunn (onsdag 15. august kl. 14.00–15.00)

Dette er et arrangement i samarbeid mellom IKT-Norge og Sopra Steria. Program og deltakere er ikke helt avklart enda, men det som er sikkert er at Datatilsynets fagdirektør Catharina Nes deltar.

Som en oppvarming anbefaler vi rapporten vår om Kommersiell bruk av personopplysninger

Les gjerne også Catharinas blogg om utviklingen i Kina

Se programmet her

Det digitale skiftet – Fantastisk eller Forferdelig? (onsdag 15. august kl. 17.00 – 19.00)

Dette er et arrangement i regi av Centre for Digital Transformation ved Universitetet i Agder. Programmet vil bli oppdatert. Datatilsynets fagdirektør Catharina Nes deltar sammen med IKT-Norges Torgeir Waterhouse, og gode rykter sier at det blir skråblikk med Bare Egil også!

Se programmet her

Helsedata – mirakelkur med bivirkning? (torsdag 16. august kl .12.00–14.00)      

Det har den siste tiden blitt gjennomført en rekke utredninger og evalueringer som har endt opp med ulike forslag til hvordan vi bedre og mer effektivt skal kunne bruke helsedata til ulike formål, og hvordan vi skal kunne realisere gevinstene av disse dataene. Det er bred enighet om at helsedata har stor verdi, og det brukes ofte store ord som den nye oljen og det nye arvesølvet.

Dette er en debatt med mange nyanser og dilemmaer. Kan den økte bruken ha noen kostnader? Kan det gå på bekostning av befolkningens tillit? Og hvilke krav stiller Den Europeiske Menneskerettighetskonvensjon og det nye personvernregelverket til bruken av helsedata i forskning og utvikling.

Datatilsynet står som arrangør av dette arrangementet, og i debatten møter du direktør i Folkehelseinstituttet Camilla Stoltenberg, prosjektleder i BIgMed-prosjektet Thomas Smedsrud, styreleder i Legemiddelindustrien Veronika Barrabes og meg.

Les gjerne min blogg om framtidas helsevesen på Personvernbloggen

Se programmet her