20. juli i år trådte de nye personvernreglene i kraft. Dette gir oss en helt ny måte å tenke personvern på. Grunnen er ganske enkelt at personvernverdenen ser annerledes ut nå enn for bare noen få år siden. Alt er digitalisert, og alt kan deles, gjenbrukes, analyser og deles på nytt. Bruk av algoritmer og kunstig intelligens vil fase mennesker ut av stadig flere beslutning, det være seg innvilgelse av en lånesøknad, en trygdesøknad eller lengden på en fengselsstraff. Vi er helt i starten på den kunstige intelligensens tidsalder, men må være klar over hva vi egentlig gjør: Vi delegerer myndighet til å treffe viktige beslutninger til en maskin.

Riktig bruk av data

Det gamle personvernet handlet om konsesjoner fra Datatilsynet og minst mulig registrering og deling av data. Personvern var noe man puttet på helt på slutten når en virksomhet lansert en ny tjeneste, og det var gjerne noe som teknologer holdt på med. Dette er annerledes nå. Folk har en forventning om at dataene deres blir brukt. Selv om det fortsatt er viktige å minimalisere mengden registrerte data og begrense delingen, har det liten mening å snakke om ikke å registrere og dele data når vi gjør 3,5 millioner søk på Google og sender 1,8 millioner snapper hvert minutt. I stedefor ingen bruk av data, snakker vi nå om riktig bruk og riktig deling av data.

Personvern er et lederansvar

Det er et krav at personvern skal være med i utviklingsprosessen helt fra starten av. I prinsippet om innebygd personvern møtes virksomhetens ønske om å bruke data med virksomhetens plikt til å følge regelverket og den enkeltes forventning om at data blir brukt. Det er viktige å utvikle løsninger som skaper en vinn-vinn-situasjon. Vi ser at der er mulig å få til, men det krever vilje og forankring på høyeste nivå i ledelsen. Personvern hører ikke lenger hjemme i datarommene, men i styrerommene og på direktørens kontor.

I stedet for ingen bruk av data, snakker vi nå om riktig bruk og riktig deling av data.

Ekstra sentral er det å utrede konsekvensene for personvernet. La oss ta et eksempel. Nå utredes en ny helseanalyseplattform, som skal gi bedre og sikrere tilgang til helsedata. Disse dataene vil samles inn fra en lang rekke kilder, som for eksempel helseregistre, biobanker og helseundersøkelser. Dataene skal brukes til blant annet analyse, forskning og innovasjon, og ambisjonen er at analyseplattformen på sikt også skal innpodes kunstig intelligens, algoritmer og såkalt prediktive analyser.

Formålet er utvilsomt det beste, men hva med konsekvensene? Å legge konkrete fordeler med plattformen i den ene vektskålen, og ulempene i den andre, er en relativt enkel øvelse. Men etter det nye regelverket må utredningen gå dypere. Det må stilles spørsmål om hva en så stor mengde data samlet på ett sted, om fem millioner mennesker, betyr for våre rettigheter og frihet.

Man må stille en rekke grunnleggende spørsmål om en slik løsning som helseanalyseplattformen:

• Krenker den retten til privatliv?
• Utfordrer den kommunikasjonsvernet, ytringsfrihet og tankefrihet?
• Utfordrer den forbudet mot diskriminering?

Økning i avviksmeldinger

Vi har gjort oss noen erfaringer siden regelverket trådte i kraft. Særlig påfallende er den enorme økningen i antall avvik som meldes inn.

I 2015 mottok vi 86 avviksmeldinger, før årets slutt var antallet opp mot 1300.

Et høyt tall, men samtidig viser det også at bevisstheten om behandling av persondata er økende. Norske virksomheter har etablert systemer som kan fange opp feil, og vilje til å lære av dem. Det er for tidlig å gi noen uttømmende analyse av hva slags feil som begås, men foreløpige erfaringer viser at menneskelige feil og mangel på rutiner utgjør brorparten. Her vil vi kommer tilbake med mer presise analyser etter hvert.

Vi mottar også flere klager fra forbrukere som mener sine personvernrettigheter krenket. Det viser at regelverket virker, og at folk bruker de nye rettighetene loven gir dem. Mer overraskende er det at vi så langt har mottatt svært få begjæringer om forhåndsdrøftelser, som er en forpliktelse til å drøfte behandlinger med høy risiko med Datatilsynet. Det igangsettes forskningsprosjekter, etableres registre, lanseres apper som behandler store mengder data og i mange norske virksomheter er opplysningene om kunden den virkelige motoren i driften. Det er vanskelig å tro at ikke en del av disse behandlingene burde vært forhåndsdrøftet med oss. Kanskje klarer norske virksomheter å redusere risikoen og iverksette tiltak som gjør forhåndsdrøftelser unødvendig? De foreløpige undersøkelsene vi har gjort gir imidlertid grunn til en viss bekymring.

Arendalsuka vokser og vokser, og det er et uendelig antall arrangementer å velge mellom. Men hvordan velge riktig? Hvordan kan den personverninteresserte virksomhet sende sine beste menn og kvinner på riktig sted? Hvor bør den glade forbruker og bevisste borger gå for å bli en enda bedre utgave av seg selv?

I denne guiden lister jeg opp de viktigste personvernarrangementene. Det er ingen uttømmende liste. Mange andre arrangementer, som digitalisering, helse og transport handler også om personvern, selv om dette ikke er angitt som tema.

Norge anno 2030 (mandag 13. august kl. 20.00)

Det er vanskelig å spå om fremtiden, men det er oppgaven til panelet som skal snakke om hvordan ble vi et grønt, digitalt og smart samfunn. En ting er sikkert; mengden persondata vil være mangedoblet om 12 år, men kanskje har vi utviklet teknologi som gjør at personvernet kan ivaretas på en bedre måte enn i dag. Og mon tro om Facebook, Google og Amazon fremdeles er verdens største selskaper. Jeg kan vel si såpass at jeg slett ikke er sikker.

Arrangører er Tekna, og jeg sitter i panelet sammen med blant annet president i Tekna, Lise Lyngsnes Randeberg og Høyres Henrik Asheim, som leder finanskomiteen på Stortinget.

Se programmet her

Den digitale kommune – Best for deg? (tirsdag kl. 09.30–11.00)

Alle bor i en kommune, og vi er allerede fra før vi blir født brukere av kommunens tjenester. Kommune-Norge digitaliseres i stadig større fart, og enkelte steder har man en fremtidsvisjon om at vi får tildelt barnehageplass ved fødselen, og viktige kommunale tjenester skal tildeles uten søknad.

Dette er vel og bra, men det fordrer innsamling og analyse av enorme mengder data, også av sensitiv karakter. Vi har gjennom mange tilsyn de siste årene avdekket av mange norske kommuner slett ikke har kontroll på data de har om innbyggerne sine. Det er derfor grunn til å spørre om de er klare for den digitale revolusjonen.

Dette arrangement er en del av hovedprogrammet, og arrangerer i samarbeid mellom Datatilsynet, KS og Arendalsuka. Jeg sitter i panelet sammen med blant annet KS sin leder Gunn Marit Helgesen og direktør i Teknologirådet, Tore Tennøe.

Se programmet her

Kan man regulere internett? (tirsdag kl. 11.00–12.00)

Regulering av internett er en stor debatt i Norge og mange andre land. Hvilke muligheter har myndighetene til å regulere internett, og hva vil kreves for å kunne gjøre dette? Skal norske forbrukere kunne oppsøke alt man ønsker så lenge det er på internett, eller er det eller bør det være begrensninger for dette? Hvor går i så fall grensen?

Programmet for dette arrangementet er ikke klart enda, men fra Datatilsynet deltar juridisk direktør Jørgen Skorstad.

Arrangør er Kindred Group.

Skal roboter passe på bestemor? (tirsdag 14. august kl. 12.15–13.00)

Vi snakker ofte om at eldreomsorgen trenger varme hender, men varme hender kan også bli klamme hender. Bruk av velferdsteknologi har mange gode sider; folk kan bo hjemme lenger, de eldre kan føle at privatlivet deres i mindre grad blir invadert av andre og det kan gi større trygghet.

Dette er blant temaene vi berører når vi samles på Aftenpostens arrangement på Mediebåten, der teknologikommentator i Aftenposten, Joacim Lund, samler teknologieksperter til en samtale. Jeg faller neppe helt inn i den kategorien, men jeg vil utdype personvernperspektivene i denne viktige debatten.

Se programmet her

Sikkerhet, personvern og elleville vilkår i «smart»-produkter (tirsdag 14. august kl. 13.00–14.30)

Antall produkter som er koblet til internett er enormt, og økende. Det siste året har Datatilsynet blant annet behandlet saker knyttet til bruk av smartklokker for barn, og vi noterer samtidig med glede at den nye personvernforordningen legger opp til at det skal tas særlig hensyn til barns personvern.

Vi ser også at personvernspørsmål har blitt forbrukerspørsmål. Hvordan dataene våre behandles handler om deg og meg og oss.

Arrangementet er et samarbeid mellom Forbrukerrådet, Forbrukertilsynet (tidligere Forbrukerombudet) og Datatilsynet, og jeg deltar i panelet sammen med blant annet Forbrukerrådets direktør Randi Flesland, direktør i Forbrukertilsynet Elisabeth Lier Haugseth og statssekretær i Justis- og beredskapsdepartementet Sveinung Rotevatn.

Se programmet her 

Dine data i fremmede makters valgkamper? Hvordan skal personvernet beskyttes? (tirsdag 14. august kl. 17.00–18.00)

Hvordan utfordrer den teknologiske utviklingen personvern og menneskerettigheter? Har den endret offentlighetene våre? Og hvordan kan vi styre teknologien?
Dette er spørsmål vi skal snakke om på om tirsdag ettermiddag

Aftenposten er arrangør og det hele foregår på Mediebåten, der jeg deltar sammen med fagdirektør i Norges Nasjonale Institusjon for Menneskerettigheter, Anine Kierulf og Harald Stanghelle, redaktør i Aftenposten.

Se programmet her  (merk: ny tekst kommer)

Pasientens helsetjenester – mine og dine data? (onsdag 15. august kl. 08.30–13.30)

Det samles inn helsedata om oss hele livet gjennom. Dette er de mest sensitive dataene som finnes, samtidig kanskje de som kan gi størst samfunnsnytte. Men vet vi hva som egentlig skjer med mine og dine helsedata? Og hvordan utfordrer bruk av helsedata personvernet? Dette er blant de spørsmålene som skal diskuteres på dette mini-seminaret.

Arrangementet er i regi av e-Helsealliansen, Sørlandet Sykehus HF, Digin, Aust-Agder Fylkeskommune, Senter for e-helse/UiA, Egde Consulting AS. Fra Datatilsynet deltar seniorrådgiver og leder for helsegruppa, Camilla Nervik.

Se programmet her

Tilkoblede barn – hvordan kan vi sørge for at barn er trygge digitale forbrukere? (onsdag 15. august kl. 09.00–10.00)

I dag er TV-en smart, klokkene er smarte og leketøyene smarte og de kan snakke til barna våre. Men hvordan gjør vi barna digitalt smarte, når vi vet at det er svært vanskelig å vite hva man egentlig takker ja til? Vi stiller også spørsmål ved hvilket ansvar foreldre og næringslivet har i å oppdra barna til gode digitale borgere.

Arrangementet er et samarbeid mellom Forbrukertilsynet, Datatilsynet og Medietilsynet. I tillegg til direktørene for de tre tilsynene, møter vi representanter fra næringslivet for meningsutveksling og debatt. Blant deltagerne er Stian Barsnes-Simonsen fra Nordic Screens og Mari Midtstigen, redaktør i Aftenposten junior.

Som oppvarming anbefaler jeg kommunikasjonsrådgiver Guro Skåltveit sin blogg om manglende opplæring i digital dømmekraft

Se programmet her

Deit med Forbrukertilsynet, Datatilsynet eller Medietilsynet – spør oss om barn og digitale medier (onsdag 15. august kl. 10.00–11.00)

Hvem drømmer ikke om en deit med Datatilsynet? Nå er sjansen der! Utviklere, produsenter, distributører, innovatører, foreldre, barn og besteforeldre – alle er velkomne til å stille spørsmål til oss om markedsføring rettet mot barn, vilkår og innsamling av data.

Fra Datatilsynet møter du erfarne jurister, teknologer og samfunnsvitere. Deiter deles ut der og da etter førstemann-til-mølla-prinsippet.

Se programmet her

Hvordan gjøre cyber-Norge tryggere? (onsdag 15. august kl. 10.30–11.30)

2018 er året Norge får både et nasjonalt cybersikkerhetssenter og et nasjonalt senter mot cyberkriminalitet. Bakgrunnen for disse nyetableringene er den økende digitale trusselen. Nasjonal Sikkerhetsmyndighet står bak arrangementet, der vi blant annet vil diskutere om slike sentre vil hjelpe og om vi kan beskytte folk og virksomheter bedre enn i dag.

Mitt perspektiv blir selvsagt hva mer sammenstilling, analyse og bruk av data betyr for innbyggernes personvern. De andre deltagerne er avdelingsdirektør Hans Petter Pretorius i NSM, politiinspektør Hans-Petter Torgersen i Kripos og sikkerhetsdirektør Hanne Tangen Nilsen i Telenor.

Se programmet her

Skjeve data & slemme roboter: Hvordan gi kunstig intelligens moralsk kompass? (onsdag 15. august kl.11.45 –14.00)

Mennesket fases ut av stadig flere beslutninger. Intelligente maskiner vil i fremtiden bestemme om vi skal få trygd, lån og forsikring, og hva slags behandling vi skal få når vi blir syke. Dette har utvilsomt mange fordeler, men samtidig er det ingen grense for hvilke opplysninger som kan bli samlet inn og brukt i «det godes tjeneste».

Derfor er det viktig at vi allerede nå, i en tidlig fase av utviklingen stiller de riktige spørsmålene: hvilke rammer trenger vi for å kunne realisere mulighetene kunstig intelligens gir oss på en sikker og rettferdig måte? Hvordan håndterer norske virksomheter som har begynt å ta i bruk KI personvernhensyn?

Arrangementet er et samarbeid mellom Telenor og Datatilsynet, og består av tre deler: En innledning av Kommunal- og moderniseringsminister Monica Mæland, hard-talk mellom Arbeiderpartiets Torstein Tvedt-Solberg og Høyres Mari Holm Lønseth (ikke endelig avklart). Deretter skal et ekspert-panel bestående av bl .a. IT-direktør i NAV Torbjørn Larsen, Ruters direktør Bernt Reitan – Jenssen og meg selv diskutere temaet.

Som en oppvarming anbefales Datatilsynets rapport om kunstig intelligens og personvern (januar 2018)

Se programmet her

Kunstig intelligens, sikkerhet og fremtidens teknologi i et globalt og inkluderende samfunn (onsdag 15. august kl. 14.00–15.00)

Dette er et arrangement i samarbeid mellom IKT-Norge og Sopra Steria. Program og deltakere er ikke helt avklart enda, men det som er sikkert er at Datatilsynets fagdirektør Catharina Nes deltar.

Som en oppvarming anbefaler vi rapporten vår om Kommersiell bruk av personopplysninger

Les gjerne også Catharinas blogg om utviklingen i Kina

Se programmet her

Det digitale skiftet – Fantastisk eller Forferdelig? (onsdag 15. august kl. 17.00 – 19.00)

Dette er et arrangement i regi av Centre for Digital Transformation ved Universitetet i Agder. Programmet vil bli oppdatert. Datatilsynets fagdirektør Catharina Nes deltar sammen med IKT-Norges Torgeir Waterhouse, og gode rykter sier at det blir skråblikk med Bare Egil også!

Se programmet her

Helsedata – mirakelkur med bivirkning? (torsdag 16. august kl .12.00–14.00)      

Det har den siste tiden blitt gjennomført en rekke utredninger og evalueringer som har endt opp med ulike forslag til hvordan vi bedre og mer effektivt skal kunne bruke helsedata til ulike formål, og hvordan vi skal kunne realisere gevinstene av disse dataene. Det er bred enighet om at helsedata har stor verdi, og det brukes ofte store ord som den nye oljen og det nye arvesølvet.

Dette er en debatt med mange nyanser og dilemmaer. Kan den økte bruken ha noen kostnader? Kan det gå på bekostning av befolkningens tillit? Og hvilke krav stiller Den Europeiske Menneskerettighetskonvensjon og det nye personvernregelverket til bruken av helsedata i forskning og utvikling.

Datatilsynet står som arrangør av dette arrangementet, og i debatten møter du direktør i Folkehelseinstituttet Camilla Stoltenberg, prosjektleder i BIgMed-prosjektet Thomas Smedsrud, styreleder i Legemiddelindustrien Veronika Barrabes og meg.

Les gjerne min blogg om framtidas helsevesen på Personvernbloggen

Se programmet her

I forrige uke ble det gjennom mediene skapt et inntrykk av at Datatilsynet nekter Forsvarets forskningsinstitutt (FFI) å forske på fremmedkrigere. Dette er ikke riktig! Tvert imot ser også Datatilsynet på slik forskning som svært viktig. Vi har derfor, så langt mulig, tolket regelverket slik at FFI kan gjennomføre sitt forskningsprosjekt.

FFI fikk den 30. april innvilget konsesjon fra Datatilsynet til å drive forskning på fremmedkrigere, og den kan leses her. Hovedregelen i forskningsprosjekter er at det kreves samtykke fra forskningsobjektet, i dette tilfelle den enkelte påståtte fremmedkriger. Siden samfunnets interesser i dette forskningsprosjektet også etter Datatilsynets vurdering overstiger den enkeltes rett til selvbestemmelse, aksepterte vi at forskningen kan skje uten samtykke. Men, for å kompensere for at forskningsobjektet fratas muligheten til å gi et forutgående samtykke til forskningen, satte vi som vilkår at de 50 personene det er snakk om får informasjon om at de forskes på. Dette er helt i tråd med regelverket, som oppstiller en klar hovedregel om at det skal gis informasjon til forskningsobjekter. Dette er en sentral personvernrettighet som bl.a. gjør det mulig for forskningsobjektene å benytte seg av sine rettigheter etter personopplysningsloven, for eksempel retten til innsyn. Dersom noen blir registrert som fremmedkrigere, med feilaktige opplysninger om dem og deres situasjon, så kan dette selvsagt få dramatiske konsekvenser for de det gjelder. Ved å bli informert om forskningsprosjektet vil den enkelte få mulighet til å rette opp misforståelser og feil.

FFI fikk den 30. april innvilget konsesjon fra Datatilsynet til å drive forskning på fremmedkrigere.

FFI hevder imidlertid at det ikke lar seg gjøre å oppfylle informasjonsplikten. De viser blant annet til at det er umulig å informere fremmedkrigeren før forskningen starter. Ifølge FFI vil dette umuliggjøre forskningen fordi de ikke vet hvem forskningsobjektene er før de har begynt innsamling av data. Videre hevder FFI at enkelte kan ha gått under jorda, eller er døde, og derfor ikke kan informeres. Dette tyder på at FFI ikke har lest vårt vedtak særlig grundig!

Datatilsynet har ikke stilt spesifikke krav om tidspunkt for når informasjonen skal gis, eller gjennom hvilke kanaler. Vi har imidlertid forholdt oss til at forskerne skal analysere innhold på sosiale medier. I den grad de gjør det, bør det også være mulig å informere gjennom de samme kanalene, i hvert fall forsøke. Dette betyr at informasjonsplikten ikke vil inntreffe før forskerne vet hvem forskningsobjektene faktisk er og har en mulighet til å informere disse. Døde personer trenger selvsagt ikke informeres, og hvis folk ikke er tilgjengelig via andre kanaler vil det være tilstrekkelig å sende et brev til siste kjente adresse. Da er informasjonsplikten ivaretatt. Og dersom ingen kontaktopplysninger om disse personene er å oppdrive er det heller ingen informasjonsplikt å oppfylle. Kort sagt: Dette kunne FFI fint ha klart, om de virkelig ønsket.

Justisminister Anundsen tok i debatten til orde for en gjennomgang av regelverket når det gjelder denne typen forskning. Jeg har ingen problemer med at personvernlovgivningen vurderes, men vil understreke at informasjonsplikten er helt grunnleggende i personvernretten. Jeg tror alle er enig i at en forsker ikke kan møte anonymt på møter i et politisk parti for å skrive en forskningsrapport basert på hva som sies av deltakerne der, eller anonymt kartlegge og forske på hvordan det har gått med mennesker som har stått fram som mobbeoffer i mediene. Spørsmålet er: Skal det gjelde andre rettigheter for mennesker som påstås å være fremmedkrigere enn for andre personer som blir gjort til gjenstand for forskning etter oppdrag fra myndighetene? Hvordan skal vi da forholde oss neste gang myndighetene vil forske på personer som har en adferd eller holdninger som ligger utenfor, eller i randsonen hva majoriteten av oss mener er akseptabelt når det gjelder religion, seksualitet, politiske oppfatninger eller helsemessig risikoatferd?

Jeg mener det må være mulig å finne en løsning som gjør at FFI kan gjennomføre forskningsprosjektet. Vi bistår gjerne FFI med veiledning om hvordan de kan oppfylle informasjonsplikten, og forklare hvilket handlingsrom som ligger i konsesjonsvilkårene. Jeg vil også følge opp justisministerens ønske om å se på personvernlovgivningen ved å be om et møte for å gjennomgå saken. Vi kan da også fortsette en dialog vi allerede har startet med departementet, om hvordan det kan utvikles nye retningslinjer og veiledning om internettforskning. Vi har gått inn i en ny forskningsvirkelighet ettersom enormt mye informasjon om enkeltmennesker ligger tilgjengelig på nett. Det kan sikkert være en fristende tanke at alt dette skal være fritt og nærmest ubegrenset tilgjengelig for forskning. Men likevel må vi holde fast på det som står i utkast til forskningsetiske retningslinjer fra Den nasjonale forskningsetiske komite om at en forsker plikter å respektere menneskers verdighet, trygghet og autonomi.

Talerlisten var lang, og det ble sagt mange flotte ord. Det var flere som påpekte at dette er første gang i Norge at man får til et så bredt samarbeid mellom private, offentlige og militære interesser. Her er det mange parter som går inn i et samarbeid, selv om de har ganske så ulike agendaer. Samtidig er det slik at alle partene har gått inn med midler eller støtte i en eller annen form, og derfor forventer de resultater.

CCIS skal levere kunnskap i form av forskning, kunnskapsforedling, -formidling, -utvikling og utdanning. Målet er å beskytte våre verdier fra trusler og angrep og forutse våre sårbarheter for å kunne avverge uønskede hendelser. Resultatene fra arbeidet skal deretter brukes for å avdekke sårbarheter i samfunnet vårt, slik at vi kan forutse og avdekke nye angrep, og øke samfunnets samlede kunnskap om digital sikkerhet og beskyttelse.

Balansegangen mellom personvern og sikkerhet er krevende, og særlig når den skal forvaltes av så mange aktører med hver sin agenda, men hvor ingen har en agenda der personvern står øverst på lista.

Flere av talerne nevnte personvern som et viktig element i CCIS sitt arbeid. Det er jeg svært glad for å høre. Likevel lurer jeg på i hvor stor grad personvern egentlig vil bli en del av CCIS sitt arbeid. Balansegangen mellom personvern og sikkerhet er krevende, og særlig når den skal forvaltes av så mange aktører med hver sin agenda, men hvor ingen har en agenda der personvern står øverst på lista. Dette var også mitt hovedbudskap i innlegget jeg holdt under åpningen, her kan du lese det:

Innlegg på åpning av CCIS-senteret på Gjøvik

Først av alt – tusen takk for invitasjonen.

Gratulerer med meget godt arbeid. Det er rett og slett imponerende å stable på beina et senter for informasjonssikkerhet av denne størrelsen, og på så kort tid.

 

Jeg er oppriktig glad for at dette har lyktes. Informasjonssikkerhet er viktigere enn noen gang (det er derfor vi er her alle sammen). Det kan også se ut til at Morten Irgens og hans hjelpere har fått til noe vi kanskje ikke er så flinke til i Norge, nemlig å få ulike aktører til å trekke sammen og samarbeide. Som et eksempel kan jeg nevne at Helse Sørøst har 3 500 datasystemer, og de færreste snakker sammen. Grunnen er at man i hvert fall ikke skulle ta i bruk samme dataløsninger som nabosykehuset eller nabokommunen. Derfor har vi havnet i den ulykkelige situasjonen vi er i i helsesektoren. Jeg er også glad fordi det i bunnen for dette prosjektet ligger en kraftig satsing på forskning og utvikling. For å være litt personlig: I min første jobb hadde jeg en mentor/fadder som fra første stund viste meg hvor viktig FoU var. Det gjaldt noe helt annet enn det vi snakker om i dag, nemlig gjeldsproblemer. Men den forskningen som ble gjort på dette området hadde en direkte følge. Det ble vedtatt en gjeldsordningslov som i årene som har fulgt har hjulpet titusenvis av norske familier ut av den fortvilte situasjonen det er å ikke kunne betale gjelda si, å kanskje ikke kunne la ungene delta på fritidsaktiviteter og gjøre andre ting vi som er så heldige å ikke ha slike problemer slipper å bekymre oss over.

 

Allikevel er dette en dag som for meg inneholder et lite MEN. Noen av dere var til stede på kick off-møtet i vinter og hørte innlegget mitt der. Da forsøkte jeg å få fram følgende budskap: Nemlig at et senter som til de grader er dominert av tunge næringslivsaktører, politiet (inkludert PST), den sivile sikkerhetsmyndigheten og forsvaret, veldig lett kan se bort fra de det sivile samfunn, borgerne, personvernet og i ytterste konsekvens menneskerettighetene. Jeg er helt sikker på at hvis jeg spør hver og en av dere om personvern er en viktig verdi, ville dere sagt ja. Og jeg ville trodd dere. OG, dere ville vært i takt med befolkningen. I en undersøkelse vi gjennomførte for under et år siden sa 46 prosent av befolkningen at de var mer opptatt av personvern enn tidligere, mens 87 prosent sa de var svært eller ganske opptatt av personvern. Kun 13 prosent sa de var lite opptatt av personvern, en nedgang på 10 prosent fra 2013.

 

Hvor ligger så spenningen mellom overvåkning og kontroll på den ene siden og personvern på den andre, og enda mer relevant i denne sammenhengen, hvor ligger spenningen mellom personvern og informasjonssikkerhet?

 

Først: hva er egentlig personvern?

• Størst mulig grad av selvbestemmelse og kontroll med egne personopplysninger
• Informasjon om hvilke opplysninger som er registrert
• Innsynsrett i de samme opplysningene
• Gode interne rutiner for håndtering av opplysninger, det vil si hva som skal lagres, når det skal slettes osv
• Og til slutt god informasjonssikkerhet

 

Langt på vei er det altså et sammenfall mellom personvern og informasjonssikkerhet. God informasjonssikkerhet er en forutsetning for godt personvern. Og her mener jeg informasjonssikkerhet i betydningen «data kommer ikke på avveie». Derfor er det egne informasjonssikkerhetsbestemmelser i personopplysningsloven, og i 80-90 prosent av alle tilsyn vi gjennomfører sjekker vi virksomhetens informasjonssikkerhet. Det hjelper ikke med selvbestemmelse, informasjon eller sletterutiner dersom man lett kan bryte seg inn å forsyne seg med sensitive, eller for den saks skyld ikke-sensitive, opplysninger.

 

Men god informasjonssikkerhet kan i seg selv aldri være godt personvern. Det er kun dersom de andre viktige vilkår er tilstede at vi kan snakke om god informasjonssikkerhet og godt personvern i sammen.

 

La meg ta en eksempel: God informasjonssikkerhet vil i mange tilfelle innebære en form for kontrollvirksomhet. Dersom det dreier seg om en ren skallsikring er det greit, men det kan dreie seg om å skanne innhold som kommer inn til en virksomhet for å forhindre skadelig programvare, malware, spyware eller lignende, eller det kan dreie seg om overvåkning av ansatte, skanning av epost eller kartlegging av deres surfemønster. Her er personvern og informasjonssikkerhet på kollisjonskurs – i utgangspunktet.

 

God informasjonssikkerhet kan også bli brukt som en unnskyldning for å ikke ivareta de andre viktige personvernhensynene. Dette så vi særlig godt i debatten om datalagringsdirektivet. Her ble våre argumenter om at direktivet var et for stort inngrep i den enkeltes frihet nærmest fnyst av, også av representanter for etater som er tilstede her i dag. Det ble blant annet brukt som motargument at disse dataene jo ville være svært godt sikret. Dette ble også den politiske løsningen, nemlig at man påla en del informasjonssikkerhetstiltak. Resultatet vet vi alle sammen: Direktivet ble kjent ugyldig av EU-domstolen fordi det stred mot helt grunnleggende borgerrettigheter, som retten til personvern og retten til et privatliv. Domstolen sa blant annet at direktivet kunne føre til at borgerne følte seg «kontinuerlig overvåket».

 

Og her er vi inne på noe helt vesentlig. Når vi ser på alle de overvåkningstiltak som er i samfunnet i dag, med nye terrorlover, Snowden-saken og så videre, er det viktig å stille spørsmålet: Påvirker dette oss negativt? Blir vi redde for å kommunisere? Og nøyaktig det samme spørsmålet kan vi stille oss når det gjelder informasjonssikkerhetstruslene. Blir vi redde for å kommunisere? Er vi redde for å sende en e-post til psykologen vår eller til gamlekjæresten eller til en litt sær politisk organisasjon eller til organisasjonen for de med den annerledes seksuelle holdningen. Den dagen vi sier JA på disse spørsmålene, har vi mistet en veldig vesentlig samfunnsverdi.

 

Det er derfor vi hele tiden må lete etter balansen mellom personvern og overvåking, og mellom personvern og informasjonssikkerhet. Vi må sikre samfunnsverdiene og trygge samfunnet vårt, men vi må ikke skape et samfunn som er så trygt at vi mister friheten. 13 prosent av befolkningen svarte at de som en følge av Snowden-avsløringene på en eller annen måte hadde lagt bånd på seg i sin kommunikasjon. Dette er et tall vi må følge meget nøye.

 

Hvem skal ivareta de sivile, borgerlige rettighetene i dette prosjektet? Hvem skal sørge for at personvernhensyn blir ivaretatt, hvem skal sørge for at vi ikke havner i en ny datalagringsdirektiv-situasjon, der situasjonen hauses opp og det skapes skremmebilder som gjør at det vedtas direktiver og lover som blir kjent ugyldig av domstolene. Slik jeg ser det i dag er det ingen av de sentrale aktørene og bidragsyterne som har en slik rolle. Jeg har tillit til politiet, til forsvaret og de store teleselskapene. Jeg forventer at de legger vekt på personvern i sitt arbeid, og det vet jeg også at de forsøker å gjøre. Men det er ikke politiets jobb, eller kompetanseområde, å snakke varmt for personverninteressene og de borgerlige rettighetene. Det er Datatilsynet jobb, det er juridisk fakultet sin jobb, det er andre FoU-miljøer som jobber med slike interesser som må gjøre den jobben. Og de er ikke representert i dette forskningssenteret. Jeg er imidlertid veldig glad for at Høyskolen i Lillehammer for to timer siden undertegnet en samarbeidsavtale med CCIS. Det er nettopp slike miljøer som kan sørge for at de verdiene jeg her snakker om blir ivaretatt.

 

Etter hvert forskningssenter er avhengig av tillit og legitimitet for å bli lyttet til. Min agenda er som følger: Jeg mener det som kommer ut fra dette senteret vil ha større legitimitet og større gjennomslagskraft dersom også våre interesser blir lyttet til. Derfor er det svært viktig at det også kommer på plass et institutt eller en avdeling eller personer som jobber med de sivile, borgerlige sidene, heri også medregnet personvernet.

 

Når det er sagt ønsker jeg igjen gratulerer med imponerende arbeid og lykke til!

Ville du akseptert dette? Neppe. Hvorfor skal du da akseptere det når det gjelder barna dine?

Foresatte vet per i dag altfor lite om hvilke opplysninger skolen samler inn om barna, hvordan opplysningene brukes og hvem de deles med. Dette vet vi i Datatilsynet fordi vi i høst har gjennomført flere tilsyn på skoler for å finne ut hvordan de bruker opplysninger om elever.

Vil registrere sensitive opplysninger om hver enkelt elev
Nå kan det dessuten bli enda vanskeligere både for elever og foresatte å ha kontroll med opplysningene. Kunnskapsdepartementet foreslår nemlig at sensitive og taushetsbelagte opplysninger om elever på 10. trinn i grunnskolen og i videregående skole, skal lagres i et sentralt register. Det betyr at Utdanningsdirektoratet får tilgang hver enkelt elevs fravær, karakterer, behov for spesialundervisning og andre taushetsbelagte opplysninger.

Departementet og direktoratet påstår at de trenger identifiserende informasjon for å forske på trender og utviklingstrekk, og for å administrere skolesektoren. Det er vi uenige i. Vi mener at de bør kunne klare seg med aggregert informasjon om elevene, det vil si opplysninger som ikke kan spores tilbake til hver enkelt elev.

Uakseptabelt med andre vilkår for barn enn for voksne
La det være helt klart; Datatilsynet er ikke mot forskning. Men vi mener at behovet for å forske på trender og utviklingstrekk kan løses på andre måter enn å opprette enda et nytt register. Sentrale utdanningsmyndigheter kan for eksempel bruke opplysninger som Statistisk sentralbyrå allerede har, eller de kan følge de samme spillereglene som andre forskningsmiljøer må følge – de må be om samtykke fra elevene det skal forskes på.

Det foregår mye forskning på utviklingstrekk i arbeidslivet, og det skjer uten at arbeidsgivere rapporterer inn arbeidstakernes prestasjoner og skavanker til et nasjonalt register. Datatilsynet mener at det er uakseptabelt at opplysningene om barn i skolen skal brukes på helt andre vilkår.

Elevene skal vite og kunne velge
Poenget er at alle, også skoleelever har rett til å vite hvem som har opplysninger om dem og hva personopplysningene brukes til. De må også kunne velge om de vil bidra til forskningen eller ikke.

Les også høringsuttalelsen vår om saken «Sentralt register med sensitive opplysninger om elever er unødvendig».