I DN 14. februar uttrykker PST frustrasjon over at ansatte i norske virksomheter i mindre grad er tilgjengelige for forebyggingssamtaler. Kan det være at PSTs metoder utfordrer rettsstaten på en slik måte at de gjør arbeidet med å sikre Norge vanskeligere?

Hva er forebyggingssamtaler?

PST gjør forebyggingssamtaler med personer som ikke har gjort noe straffbart. De bruker det som et konkret virkemiddel for å kartlegge og forebygge trusler. Forutsetningen for å gjennomføre en samtale er at PST har kartlagt enkeltpersoner eller miljøer som potensielt utgjør en trussel.

Dette er en form for over overvåkning, og nettopp uklarhetene rundt forebyggingssamtalene kan forsterke de negative effektene av overvåkning.

Rettsstatens prinsipper bygger tillit

Rettsstatsprinsipper er til for å verne borgerne. Som en heldig bieffekt gir de også en stat bygget på tillit. Utgangspunktet i en rettsstat er at myndighetene ikke har noe med privatlivet til borgerne eller opplysningene til virksomhetene å gjøre, uten at det er godt begrunnet. Gode grunner kan for eksempel være kriminalitetsbekjempelse, nasjonal sikkerhet eller andre viktige samfunnshensyn. Men det må også rammes inn av et solid lovverk.

Problemet med forebyggingssamtaler er at de beveger seg i rettsstatens yttergrense. De har et svakt og lite utviklet rettslig grunnlag. Både form og innhold kan disse politimetodene skape usikkerhet knyttet til overvåkning og bruk av makt.

Eksempler på problematisk metodebruk

Når det gjelder form, så kan både DNs artikkel 14. februar med personer i sikkerhetssensitive virksomheter, og PSTs «dawn raid» mot ungdom som er aktive i radikale grupper på nettet, tjene som eksempel metodebruk som kan forsterke negative konsekvenser.

PST oppsøkte en rekke barn hjemme tidlig om morgenen 13. juni i fjor, i en koordinert aksjon for å ta en prat om ytringer de hadde kommet med på nett. PST selv omtaler det som en « «skånsom håndsrekning». Det er enkelt å tenke seg mer skånsomme måter å gjennomføre en forebyggingssamtale på.

Uformelle møter svekker tilliten

I DNs artikkel leser vi om at enkeltpersoner kontaktes direkte og at samtalen kan gjennomføres på «kafé eller restaurant. Det kan være å gå en tur i en park, eller ta en biltur.» Men det er også påpekt at det ikke må virke for hemmelig.

Personer som er undergitt virksomhetenes taushetsplikt, skal altså dele informasjon med PST på et tynt rettslig grunnlag, gjerne på en kafé og uten noen form for notoritet. Hvem ville i den sikkerhetspolitiske situasjonen vi står i dra på kafé med en tilfeldig person for å snakke om sikkerheten i virksomheten?

Dette innlegget sto på trykk først i DN 7. mars 2025.

Cyberangrep er stadig i overskriftene, og det er berre å innsjå det – vi menneske er det svakaste leddet. Nokon av oss klikkar febrilsk unna alle varselboksar som poppar opp, og jobbar uforstyrra vidare. Nokon deler villig vekk persondata på ukjente sider. Andre har innsikt i farane der ute, men med oppblåst, digital sjølvtillit hoppar dei over it-sjefens kurs for alle i bedrifta. Det er som regel gammalt nytt. Våre forkunnskapar om og interesser for informasjonssikring er forskjellige. Det er utfordrande for dei som prøvar å førebyggje mot cyberangrep og phishing. Korleis kan vi lage ei opplæring som funkar?

Å gjere informasjonssikring interessant

Kva om vi kunne få til spesialtilpassa opplæring på jobb, for å sikre oss mot både sosial manipulasjon og «hacking»? Ei opplæring som treff oss med akkurat dei tiltaka vi treng, og med pedagogiske triks som gjer oss motivert til å lære? Det er muleg. Det er berre ein liten hake ved det. All denne informasjonen som trengs for å vite kva som funkar på akkurat deg – kven skal ha tilgang til den?

Ville du hatt tillit til at sjefen ikkje brukte slike sensitive data, som var meint for tilpassing av opplæringa, for å fordele opprykk og spennande prosjekt? Eller enda verre – som påskott for å bli kvitt upopulære medarbeidarar? Korleis kan dei som utviklar og bruker kunstig intelligens gå fram for å vinne tillit frå tilsette? Dette er nokre av spørsmåla Secure Practice har utforska ilag med Datatilsynet i sandkassa for kunstig intelligens.

Kunstig intelligent, ekte kjent

For å få spesialtilpassa opplæring, må vi først bli kartlagt. Verktyet som Secure Practice utviklar bruker maskinlæring – ei form for kunstig intelligens – for å samle og samanstille informasjon om dei tilsette i ei verksemd.

I verktyet kan tilsette for det første svare på spørsmål om kunnskap og vanar innanfor  informasjonssikring. For det andre kan verktyet byggje på erfaring frå testar, som til dømes simulert phishing. Phishing er ei form for sosial manipulering, der cyberkriminelle for eksempel prøver å lure folk til å trykkje på ei skadeleg lenkje i ein e -post. Simulert phishing er som ei brannøving, der verksemda sender liknande e-post til dei tilsette, men i kontrollerte former. Om ein tilsett klikkar på lenkja eller ikkje, seier noko om kor medviten den enkelte tilsette er om informasjonssikring.

Den samanstilte informasjonen blir deretter brukt til å kalkulere ein risikokategori for kvar enkelt tilsett. Kva for risikokategori den tilsette hamnar i, avgjer kva for opplæring han eller ho får tilbod om.

Tillit må til

Stoler du ikkje på KI-verktyet, vil du kanskje føle deg overvaka. Du kan vegre deg for å for å svare ærleg på spørsmål i kartlegginga. Kanskje vil du også bruke retten du har i personvernforordninga til å protestere mot kartlegginga. Alt dette verkar inn på om det er lovleg å bruke verktyet.

Arbeidsgjevaren kan nemleg berre behandle personopplysningane om deg dersom opplysningane er eigna og nødvendige for å oppnå målet om betre opplæring i informasjonssikring. I tillegg må interessene til informasjonssikring vege tyngre enn dei tilsettes personvern. Protesterer du, krevst det enda meir overvekt for omsynet til informasjonssikring, halde opp mot ditt personvern.

Korleis vinne tillit frå dei tilsette?

For det første må du ha eit system som fortener tillit. Tenestetilbydarar og arbeidsgjevarar må lage gode kontraktar. Det er grunnleggjande å avtale kven som har ansvaret for at KI-systemet blir brukt på ein måte som oppfyller krava i personvernregelverket. Er det arbeidsgjevarane, tenestetilbydarane eller begge i fellesskap? I prosjektet vårt var det dessutan viktig å finne ut kven som skulle ha tilgang til personopplysningane som blir samla inn om den enkelte tilsette. Dei tilsette ville vere betre beskytta, dersom berre tenestetilbydaren skulle handtere desse opplysningane. Kanskje er det ikkje så avgjerande om du stolar på sjefen, dersom du har tillit til tenesteytaren og programvaren?

I tillegg til gode avtalar trengst det tekniske tiltak for å hindre at uvedkomande får tilgang til opplysningane om dei enkelte. Informasjonen om tilsettes svake punkt er gull verdt for “vondsinna” aktørar. Her er pseudonymisering, kryptering og tilgangsstyring nyttige stikkord.

Faren for falsk tryggleik

Men det hjelper veldig lite med verdas sikraste system om ikkje dei tilsette skjønar det eller stoler på det. Dei tilsette må få informasjon om korleis ansvaret er fordelt og korleis opplysningane om dei blir brukt. Informasjonen må vere lett tilgjengeleg og formulert på ein enkel og klar måte.

I prosjektet har vi spurt fokusgrupper med ulik bakgrunn korleis dei ønskjer å få informasjon. Vi erfarte at ikkje all openheit var god. Dersom verktyet for eksempel forklarte nivået på opplæringa med at den tilsette tidlegare var blitt lurt i ein test, kunne det skape irritasjon og stå i vegen for vidare læring.

Vi spurde også kva for informasjon dei var villig til å gi frå seg. Det var store individuelle forskjellar. Somme var opptatt av at opplysningane om dei tilsette vart godt sikra mot tilgang frå arbeidsgjevaren, og at tilsette burde få uttale seg før verktyet vart tatt i bruk. Andre framheva at dei måtte forstå målet med verktyet og korleis det verkar, for å svare ærleg.

Og uærlege svar er rusk i det finstemte KI-maskineriet. Nøkkelen til kunstig intelligens som verkeleg verkar er tillit. Tonnevis med tillit.

Dagens tips frå sandkassa:

Ikkje ta lett på kommunikasjonen med dei tilsette. Den er avgjerande for tilitten. Som er avgjerande for at verktyet verkar.

• Sluttrapporten frå sandkasseprosjektet med Secure Practice skal vere ferdig og bli publisert i november. Då vil du finne den på Sandkassesiden.
• Hald deg oppdatert på kva som skjer i sandkassa, søknadsfristar og arrangement ved å abonnere på sandkassas eige nyhendebrev: Sandkassebrevet.
• Vil du lese meir om korleis svindlarane går fram? Sjå Koronasvindlerne – Personvernbloggen.

I desember 2016 slo EU-domstolen fast at bl.a. de svenske og engelske datalagringslovene var ulovlige: Generell innsamling og lagring av kommunikasjonsopplysninger om en ubegrenset krets av personer ble ansett å være i strid med menneskerettighetene. Slik datalagring kan bare tillates dersom det gjelder data knyttet til et tidsrom, et geografisk område eller en personkrets som på en eller annen måte kan være innblandet i alvorlige lovovertredelser.

Særlig på bakgrunn av disse dommene konkluderte både Datatilsynet og Norges Nasjonale institusjon for menneskerettigheter med at utvalgets forslag var i strid med Den europeiske menneskerettighetskonvensjonen (EMK) og Grunnloven. Dommene kom etter rapportens fremleggelse, men utvalget var godt kjent med at disse avgjørelsene var under oppseiling, og skrev: «[Når] de foreligger, vil DGF naturligvis også måtte vurderes i lys av disse».

En slik vurdering har imidlertid ikke utvalget gjort. Det naturlige ville imidlertid vært å gjøre en vurdering av om forslaget de la fram, i lys av rettsutviklingen, er i strid med EMK og den norske Grunnloven.

Utvalget selv fryktet dessuten formålsutglidning, altså at de innsamlede dataene brukes til nye formål og av andre organer enn opprinnelig vedtatt.

De fremmet forslag som skulle virke begrensende, blant annet at politiet, og andre, ikke kan søke eller bestille informasjon fra DGF, til eget formål, og at data fra DGF ikke kunne brukes som bevis i konkrete straffesaker.

Riksadvokaten var, i høringen sin, ikke enig i dette, og skrev. «[Det er] viktig at loven åpner for at overskuddsinformasjon om begått eller pågående alvorlig kriminalitet mot en person liv [], kan deles med politi og påtalemyndighet». Kripos mente at opplysninger fremkommet ved DGF i noen tilfeller må deles med andre og benyttes.

Men også her har utvalgets medlemmer reagert med taushet. Skal man delta i en debatt om eget forslag, må man også ta inn over seg at svært sentrale rettsavgjørelser og uttalelser fra sentrale høringsinstanser rokker helt grunnleggende ved utvalgets konklusjoner. Dette gjelder særlig når utvalget selv sa dette:

«For å oppnå et rettslig forsvarbart DGF, er det etter utvalgets oppfatning ikke mulig å fravike dette oppsettet i stor grad, og selv små svekkelser i kontrollmekanismene kan føre til at menneskerettigheter og personvernhensyn vil bli ansett som brutt».

Min oppfordring er derfor klar: Utvalgets medlemmer må klargjøre hvordan de ser på sitt eget forslag i lys av utviklingen etter at de fremla sin rapport. Denne debatten er alt for viktig til å late som om ingen ting har skjedd!

Dette innlegget sto på trykk i Aftenposten, tirsdag 30. mai 2017.

Dokumentene avslørte at etterretningsmyndighetene hadde tatt i bruk mer vidtrekkende og inngripende virkemidler enn de fleste hadde kunnet forestille seg, og at programmene var verdensomspennende. Glenn Greenwald, tidligere advokat, en av Snowdens betrodde medhjelpere og nå journalist i Washington Post, skriver:

«Det dokumentarkivet som Edward Snowden hadde samlet, var forbløffende både i størrelse og i rekkevidde. Selv om jeg hadde skrevet om farene ved USAs hemmelige overvåkning i årevis, opplevde jeg de rene og skjære dimensjonene til overvåkningssystemet som genuint rystende, ikke minst fordi det åpenbart var blitt innført så å si uten demokratisk kontroll, åpenhet eller begrensninger».

Fra «Overvåket – Edward Snowden, NSA og overvåkningsstaten», Cappelen Damm 2014

Avsløringene fikk også rettslige konsekvenser. En av de viktigste kom i fjor, med EU-domstolens avgjørelse i Safe Harbour-saken. Saken gjaldt Facebooks behandling av personopplysninger om tjenestens brukere i Europa. Alle Facebook-brukere som bor i Europa har nemlig på papiret inngått en brukeravtale med Facebook Irland. Til tross for dette, viste det seg at all informasjon generert av europeiske Facebook-brukere har blitt overført til Facebook Inc.s servere i USA. Overføring av personopplysninger til land utenfor EU og EØS er bare tillatt under gitte, strenge vilkår, fordi det rettsvernet som personopplysningene våre nyter godt av i Europa, forsvinner når dataene havner et annet sted.

Ikke bare kom EU-domstolen til at disse dataoverføringene var ulovlige, men den underkjente likegodt hele den rettslige beslutningen som i sin tid innførte Safe Harbour-prinsippene. Dermed forsvant det viktigste rettslige grunnlaget for overføring av personopplysninger til USA, og med ett ble en mengde dataoverføringer ulovlige over natten.

Det var personvernaktivisten Maximillian Schrems som initierte saken. Han ville ha en slutt på at Facebook Irland sendte hans personopplysninger til USA, hvor han mente at verken lovgivning eller eksisterende praksis ga noe tilfredsstillende vern om hans personlige informasjon. Schrems henviste i den forbindelse til Snowdens avsløringer om de amerikanske etterretningstjenesters aktiviteter, og det samme gjør generaladvokat Yves Bot i sin innstilling til domstolen.

EU-domstolens konklusjoner var med andre ord en direkte konsekvens av Snowdens avsløringer, og Schrems’ initiativer via europeiske rettslige kanaler. Avgjørelsen er svært viktig, fordi Safe Harbour-beslutningen hadde vært det mest brukte rettslige grunnlaget for overføring av personlige opplysninger fra Europa til USA i over femten år. Nå er både private virksomheter og offentlige myndigheter i villrede med tanke på hva som vil skje videre. En delegasjon av EU-byråkrater er for tiden i USA for å forhandle videre om Privacy Shield, som skal være Safe Harbour-beslutningens arvtager, etter at EUs ekspertorgan i personvernspørsmål, Artikkel 29-gruppen, tidligere i vår ga en klar anbefaling til EU-kommisjonen om at det avtaleutkastet som det hadde fått til vurdering, ikke holdt mål i lys av våre grunnleggende individuelle rettigheter.

Men dommen er også svært viktig fordi den slår fast at grunnleggende individuelle rettigheter i europeisk rettstradisjon står i veien for masseovervåkning av europeiske borgere. Artikkel 29-arbeidsgruppen har analysert denne rettsavgjørelsen, og andre europeiske rettsavgjørelser om individets fundamentale rettigheter, og utledet fire garantier:

• Garanti A: et hvert inngrep i personvernet må baseres på klare, presise og tilgjengelige lovregler
• Garanti B: det er nødvendig å påvise at databehandlingen er nødvendig og proporsjonal
• Garanti C: det må finnes en uavhengig kontrollmekanisme
• Garanti D: individet skal kunne prøve lovligheten av inngrepet i sine rettigheter rettslig

At opplysninger om oss skal vernes, regnes som en grunnleggende menneskerettighet i EU. Artikkel 29-gruppen fremhever at disse garantiene må være oppfylt for at inngrep i vårt personvern skal kunne betraktes  som legitime. Dette gjelder uansett hva formålet med inngrepet er. Før vi kan gjenvinne tilliten til at våre personopplysninger blir behandlet på en forsvarlig måte i USA, er det nødvendig at amerikanske myndigheter sørger for å ivareta disse garantiene, mener arbeidsgruppen.

Disse garantiene er imidlertid ikke bare myntet på myndighetene i andre stater. Dette er allmenne prinsipper, og alle europeiske myndigheter som vurderer å innføre overvåkningstiltak mot befolkningen, må vurdere tiltakene opp mot disse garantiene. Den 8. juni skal Stortinget behandle et lovforslag fra Regjeringen om å innføre nye, skjulte tvangsmidler til kriminalitetsbekjempelsesformål (Prop. 68 L). Her finner man blant annet et forslag om å innføre dataavlesing som virkemiddel for politiet og PST. Vi forventer at Stortinget tar alle disse fire garantiene med i betraktningen når det nå skal stemme over dette lovforslaget.

Dessverre ser vi ofte at arbeidsgivere innfører slike kontrolltiltak uten at de har noen grunn til det, og uten at reglene om innføring av kontrolltiltak er fulgt. Det kan sikkert være flere grunner til det, men det skyldes sannsynligvis at det er billig og enkelt, kombinert med en dose tankeløshet fra arbeidsgivers side.

Vi tilbringer mye av livet vårt på arbeidsplassen. Norge er et lite hierarkisk samfunn, og dette ser vi også i arbeidslivet. Derfor er det overraskende at ikke flere arbeidsgivere følger de tre enkle reglene for innføring av kontrolltiltak:

• Drøft behov for tiltaket og hvordan det skal innføres med de fagorganiserte
• Informer de ansette på en skikkelig måte – hva innbærer tiltaket, hvorfor gjør vi dette og hva er rekkevidden av det?
• Evaluer tiltaket – og opphev det hvis det ikke har noen positiv effekt

I morgen arrangerer UNIO en stor konferanse der arbeidstagernes vern mot overvåkning er et viktig tema. Jeg deltar i debatten, og der vil jeg framføre et ønske ved slutten av 2013: At flere arbeidsgivere tar kontakt med oss for å få råd om hvordan de skal gå fram for å innføre kontrolltiltak.

Les om rettigheter og plikter i arbeidslivet på datatilsynet.no