Arendalsuka vokser og vokser, og det er et uendelig antall arrangementer å velge mellom. Men hvordan velge riktig? Hvordan kan den personverninteresserte virksomhet sende sine beste menn og kvinner på riktig sted? Hvor bør den glade forbruker og bevisste borger gå for å bli en enda bedre utgave av seg selv?

I denne guiden lister jeg opp de viktigste personvernarrangementene. Det er ingen uttømmende liste. Mange andre arrangementer, som digitalisering, helse og transport handler også om personvern, selv om dette ikke er angitt som tema.

Norge anno 2030 (mandag 13. august kl. 20.00)

Det er vanskelig å spå om fremtiden, men det er oppgaven til panelet som skal snakke om hvordan ble vi et grønt, digitalt og smart samfunn. En ting er sikkert; mengden persondata vil være mangedoblet om 12 år, men kanskje har vi utviklet teknologi som gjør at personvernet kan ivaretas på en bedre måte enn i dag. Og mon tro om Facebook, Google og Amazon fremdeles er verdens største selskaper. Jeg kan vel si såpass at jeg slett ikke er sikker.

Arrangører er Tekna, og jeg sitter i panelet sammen med blant annet president i Tekna, Lise Lyngsnes Randeberg og Høyres Henrik Asheim, som leder finanskomiteen på Stortinget.

Se programmet her

Den digitale kommune – Best for deg? (tirsdag kl. 09.30–11.00)

Alle bor i en kommune, og vi er allerede fra før vi blir født brukere av kommunens tjenester. Kommune-Norge digitaliseres i stadig større fart, og enkelte steder har man en fremtidsvisjon om at vi får tildelt barnehageplass ved fødselen, og viktige kommunale tjenester skal tildeles uten søknad.

Dette er vel og bra, men det fordrer innsamling og analyse av enorme mengder data, også av sensitiv karakter. Vi har gjennom mange tilsyn de siste årene avdekket av mange norske kommuner slett ikke har kontroll på data de har om innbyggerne sine. Det er derfor grunn til å spørre om de er klare for den digitale revolusjonen.

Dette arrangement er en del av hovedprogrammet, og arrangerer i samarbeid mellom Datatilsynet, KS og Arendalsuka. Jeg sitter i panelet sammen med blant annet KS sin leder Gunn Marit Helgesen og direktør i Teknologirådet, Tore Tennøe.

Se programmet her

Kan man regulere internett? (tirsdag kl. 11.00–12.00)

Regulering av internett er en stor debatt i Norge og mange andre land. Hvilke muligheter har myndighetene til å regulere internett, og hva vil kreves for å kunne gjøre dette? Skal norske forbrukere kunne oppsøke alt man ønsker så lenge det er på internett, eller er det eller bør det være begrensninger for dette? Hvor går i så fall grensen?

Programmet for dette arrangementet er ikke klart enda, men fra Datatilsynet deltar juridisk direktør Jørgen Skorstad.

Arrangør er Kindred Group.

Skal roboter passe på bestemor? (tirsdag 14. august kl. 12.15–13.00)

Vi snakker ofte om at eldreomsorgen trenger varme hender, men varme hender kan også bli klamme hender. Bruk av velferdsteknologi har mange gode sider; folk kan bo hjemme lenger, de eldre kan føle at privatlivet deres i mindre grad blir invadert av andre og det kan gi større trygghet.

Dette er blant temaene vi berører når vi samles på Aftenpostens arrangement på Mediebåten, der teknologikommentator i Aftenposten, Joacim Lund, samler teknologieksperter til en samtale. Jeg faller neppe helt inn i den kategorien, men jeg vil utdype personvernperspektivene i denne viktige debatten.

Se programmet her

Sikkerhet, personvern og elleville vilkår i «smart»-produkter (tirsdag 14. august kl. 13.00–14.30)

Antall produkter som er koblet til internett er enormt, og økende. Det siste året har Datatilsynet blant annet behandlet saker knyttet til bruk av smartklokker for barn, og vi noterer samtidig med glede at den nye personvernforordningen legger opp til at det skal tas særlig hensyn til barns personvern.

Vi ser også at personvernspørsmål har blitt forbrukerspørsmål. Hvordan dataene våre behandles handler om deg og meg og oss.

Arrangementet er et samarbeid mellom Forbrukerrådet, Forbrukertilsynet (tidligere Forbrukerombudet) og Datatilsynet, og jeg deltar i panelet sammen med blant annet Forbrukerrådets direktør Randi Flesland, direktør i Forbrukertilsynet Elisabeth Lier Haugseth og statssekretær i Justis- og beredskapsdepartementet Sveinung Rotevatn.

Se programmet her 

Dine data i fremmede makters valgkamper? Hvordan skal personvernet beskyttes? (tirsdag 14. august kl. 17.00–18.00)

Hvordan utfordrer den teknologiske utviklingen personvern og menneskerettigheter? Har den endret offentlighetene våre? Og hvordan kan vi styre teknologien?
Dette er spørsmål vi skal snakke om på om tirsdag ettermiddag

Aftenposten er arrangør og det hele foregår på Mediebåten, der jeg deltar sammen med fagdirektør i Norges Nasjonale Institusjon for Menneskerettigheter, Anine Kierulf og Harald Stanghelle, redaktør i Aftenposten.

Se programmet her  (merk: ny tekst kommer)

Pasientens helsetjenester – mine og dine data? (onsdag 15. august kl. 08.30–13.30)

Det samles inn helsedata om oss hele livet gjennom. Dette er de mest sensitive dataene som finnes, samtidig kanskje de som kan gi størst samfunnsnytte. Men vet vi hva som egentlig skjer med mine og dine helsedata? Og hvordan utfordrer bruk av helsedata personvernet? Dette er blant de spørsmålene som skal diskuteres på dette mini-seminaret.

Arrangementet er i regi av e-Helsealliansen, Sørlandet Sykehus HF, Digin, Aust-Agder Fylkeskommune, Senter for e-helse/UiA, Egde Consulting AS. Fra Datatilsynet deltar seniorrådgiver og leder for helsegruppa, Camilla Nervik.

Se programmet her

Tilkoblede barn – hvordan kan vi sørge for at barn er trygge digitale forbrukere? (onsdag 15. august kl. 09.00–10.00)

I dag er TV-en smart, klokkene er smarte og leketøyene smarte og de kan snakke til barna våre. Men hvordan gjør vi barna digitalt smarte, når vi vet at det er svært vanskelig å vite hva man egentlig takker ja til? Vi stiller også spørsmål ved hvilket ansvar foreldre og næringslivet har i å oppdra barna til gode digitale borgere.

Arrangementet er et samarbeid mellom Forbrukertilsynet, Datatilsynet og Medietilsynet. I tillegg til direktørene for de tre tilsynene, møter vi representanter fra næringslivet for meningsutveksling og debatt. Blant deltagerne er Stian Barsnes-Simonsen fra Nordic Screens og Mari Midtstigen, redaktør i Aftenposten junior.

Som oppvarming anbefaler jeg kommunikasjonsrådgiver Guro Skåltveit sin blogg om manglende opplæring i digital dømmekraft

Se programmet her

Deit med Forbrukertilsynet, Datatilsynet eller Medietilsynet – spør oss om barn og digitale medier (onsdag 15. august kl. 10.00–11.00)

Hvem drømmer ikke om en deit med Datatilsynet? Nå er sjansen der! Utviklere, produsenter, distributører, innovatører, foreldre, barn og besteforeldre – alle er velkomne til å stille spørsmål til oss om markedsføring rettet mot barn, vilkår og innsamling av data.

Fra Datatilsynet møter du erfarne jurister, teknologer og samfunnsvitere. Deiter deles ut der og da etter førstemann-til-mølla-prinsippet.

Se programmet her

Hvordan gjøre cyber-Norge tryggere? (onsdag 15. august kl. 10.30–11.30)

2018 er året Norge får både et nasjonalt cybersikkerhetssenter og et nasjonalt senter mot cyberkriminalitet. Bakgrunnen for disse nyetableringene er den økende digitale trusselen. Nasjonal Sikkerhetsmyndighet står bak arrangementet, der vi blant annet vil diskutere om slike sentre vil hjelpe og om vi kan beskytte folk og virksomheter bedre enn i dag.

Mitt perspektiv blir selvsagt hva mer sammenstilling, analyse og bruk av data betyr for innbyggernes personvern. De andre deltagerne er avdelingsdirektør Hans Petter Pretorius i NSM, politiinspektør Hans-Petter Torgersen i Kripos og sikkerhetsdirektør Hanne Tangen Nilsen i Telenor.

Se programmet her

Skjeve data & slemme roboter: Hvordan gi kunstig intelligens moralsk kompass? (onsdag 15. august kl.11.45 –14.00)

Mennesket fases ut av stadig flere beslutninger. Intelligente maskiner vil i fremtiden bestemme om vi skal få trygd, lån og forsikring, og hva slags behandling vi skal få når vi blir syke. Dette har utvilsomt mange fordeler, men samtidig er det ingen grense for hvilke opplysninger som kan bli samlet inn og brukt i «det godes tjeneste».

Derfor er det viktig at vi allerede nå, i en tidlig fase av utviklingen stiller de riktige spørsmålene: hvilke rammer trenger vi for å kunne realisere mulighetene kunstig intelligens gir oss på en sikker og rettferdig måte? Hvordan håndterer norske virksomheter som har begynt å ta i bruk KI personvernhensyn?

Arrangementet er et samarbeid mellom Telenor og Datatilsynet, og består av tre deler: En innledning av Kommunal- og moderniseringsminister Monica Mæland, hard-talk mellom Arbeiderpartiets Torstein Tvedt-Solberg og Høyres Mari Holm Lønseth (ikke endelig avklart). Deretter skal et ekspert-panel bestående av bl .a. IT-direktør i NAV Torbjørn Larsen, Ruters direktør Bernt Reitan – Jenssen og meg selv diskutere temaet.

Som en oppvarming anbefales Datatilsynets rapport om kunstig intelligens og personvern (januar 2018)

Se programmet her

Kunstig intelligens, sikkerhet og fremtidens teknologi i et globalt og inkluderende samfunn (onsdag 15. august kl. 14.00–15.00)

Dette er et arrangement i samarbeid mellom IKT-Norge og Sopra Steria. Program og deltakere er ikke helt avklart enda, men det som er sikkert er at Datatilsynets fagdirektør Catharina Nes deltar.

Som en oppvarming anbefaler vi rapporten vår om Kommersiell bruk av personopplysninger

Les gjerne også Catharinas blogg om utviklingen i Kina

Se programmet her

Det digitale skiftet – Fantastisk eller Forferdelig? (onsdag 15. august kl. 17.00 – 19.00)

Dette er et arrangement i regi av Centre for Digital Transformation ved Universitetet i Agder. Programmet vil bli oppdatert. Datatilsynets fagdirektør Catharina Nes deltar sammen med IKT-Norges Torgeir Waterhouse, og gode rykter sier at det blir skråblikk med Bare Egil også!

Se programmet her

Helsedata – mirakelkur med bivirkning? (torsdag 16. august kl .12.00–14.00)      

Det har den siste tiden blitt gjennomført en rekke utredninger og evalueringer som har endt opp med ulike forslag til hvordan vi bedre og mer effektivt skal kunne bruke helsedata til ulike formål, og hvordan vi skal kunne realisere gevinstene av disse dataene. Det er bred enighet om at helsedata har stor verdi, og det brukes ofte store ord som den nye oljen og det nye arvesølvet.

Dette er en debatt med mange nyanser og dilemmaer. Kan den økte bruken ha noen kostnader? Kan det gå på bekostning av befolkningens tillit? Og hvilke krav stiller Den Europeiske Menneskerettighetskonvensjon og det nye personvernregelverket til bruken av helsedata i forskning og utvikling.

Datatilsynet står som arrangør av dette arrangementet, og i debatten møter du direktør i Folkehelseinstituttet Camilla Stoltenberg, prosjektleder i BIgMed-prosjektet Thomas Smedsrud, styreleder i Legemiddelindustrien Veronika Barrabes og meg.

Les gjerne min blogg om framtidas helsevesen på Personvernbloggen

Se programmet her

«Det er den draumen me ber på, at noko vidunderlig skal skje.» Ordene fra lyrikeren Olav H. Hauge oppsummerer kanskje de store forhåpningene vi har til kunstig intelligens. Allerede i dag kan algoritmer gjenkjenne ansikter eller treffe beslutninger basert på enorme mengder data i løpet av et sekund. Teknologien har potensial til å revolusjonere sektorer som helse og finans.

Alt som er teknisk mulig er ikke alltid til det beste – og det er heller ikke alltid tillatt.

Skjeve algoritmer
Domstolene i noen av statene i USA har tatt i bruk maskinlæring i et system for utmåling av straff og kausjonsbetingelser. Dobbelt så mange afroamerikanere som hvite ble feilaktig ansett å ha høy risiko for å begå nye lovbrudd.

Vi er bare i startgropen på noe som vil ha en betydelig effekt på samfunnet. Derfor er det viktig at vi tar diskusjonen nå – hvilke rammer trenger vi for å kunne realisere mulighetene i kunstig intelligens på en oversiktlig, trygg og rettferdig måte?

Svarte bokser og dype nett
En enkel og forståelig algoritme for å kjenne igjen et ansikt kan være å kun se på om håret er lyst eller mørkt. Da er det én regel som styrer ansiktsgjenkjenningen.

Såkalte dype nett er den nyeste utviklingen og selskaper som Google og Facebook ligger helt i front. Dype nett kan ha millioner av parametre, som hver for seg beskriver en enkel sammenheng. Millioner av slike enkle biter gir modeller som er komplekse og presise, men som også kan være vanskelige å forstå selv for dem som har laget dem – såkalte svarte bokser.

Algoritmene kan ikke gjøre som de vil
De nye personvernreglene fra EU (GDPR) som trer i kraft i mai stiller større krav til dem som behandler personopplysninger og setter grenser for bruk av teknologi. Sentralt for bruk av kunstig intelligens i de nye reglene er dataminimering, rettferdig behandling og ikke minst gjennomsiktighet.

Brukeren har rett til å få grunnleggende informasjon om behandlingen. Ved en helautomatisert avgjørelse med betydelig konsekvens for den registrerte kan vedkommende også ha rett til en forklaring på hvordan avgjørelsen er tatt. Å ikke følge reglene kan gi bøter eller pålegg om å endre praksis eller slutte å behandle personopplysninger.

Innsyn i algoritmene er teknisk mulig
Vi har den siste tiden sett flere eksempler på utprøving av tekniske løsninger som gjør det mulig å se inn i algoritmene uten å avsløre mer enn den registrerte har krav på å få vite. En algoritme henter ut en forståelig forklaring på hvordan algoritmen har vurdert akkurat dine data. Slik metodikk for å se inn i algoritmer uten å kjenne dem i detalj – en slags kunstig intelligens for å forklare den kunstige intelligensen – forskes det aktivt på i dag.

Videre utvikling er avhengig av folks tillit
En bærekraftig utvikling av personaliserte tjenester forutsetter at folk er villige til å dele opplysningene sine og at de stoler på at opplysningene deres blir ivaretatt på en ansvarlig måte. Hvis din virksomhet vil ta i bruk kunstig intelligens bør du først vurdere mulige personvernkonsekvenser, ha gode systemer for å ta vare på de registrertes rettigheter og teste løsningene jevnlig for å unngå innebygd, urimelig forskjellsbehandling. Det kan dessuten være at du må velge mellom en modell som gir best mulig resultater og en modell det også er mulig å forklare.

Til slutt: Det offentlige må gå foran med etiske og personvernvennlige løsninger og det bør forskes mer på løsninger som sikrer personvernvennlig kunstig intelligens og gjør det lettere å følge reglene. Dette kan også bli en konkurransefordel for norske virksomheter.

Denne teksten ble trykket som kronikk i Dagens Næringsliv sin teknologispalte fredag 12. januar med Anders Løland fra Norsk Regnesentral og Bjørn Erik Thon fra Datatilsynet som medforfattere i tillegg til meg selv. Samme dag ble Datatilsynets rapport om personvern og kunstig intelligens lansert, les mer om den her.

– Retten til å bli glemt gir borgerne større rett enn i dag til å få slettet data som ikke lenger er relevant

– Dersom det skjer et sikkerhetsbrudd, for eksempel at data kommer på avveier eller et selskap blir hacket, har de 72 timer på seg til å rapportere om dette offentlig

– Barn under 16 år må ha foreldrenes samtykke til å inngå avtaler med selskaper som Facebook og Instagram, men her kan hvert enkelt land velge å sette aldersgrensen til 13 år. Dette er en nyvinning i forhold til tidligere forslag, og her ligger det an til en frisk debatt, vil jeg tro.

– Europeiske regler gjelder for alle selskaper som har europeiske kunder, selv om selskapet ikke er basert i Europa.

– Dataportabilitet skal gi borgerne større eiendomsrett til egne data og mulighet til å overføre egne data til nye selskaper.

– Det kan ilegges overtredelsesgebyrer på 4 prosent av årlig omsetning. Vi kan i dag ilegge gebyr på max 10G, altså ca 900 000 kroner.

– Selskaper med store datamengder eller mange kunder må opprette personvernombud.

I en kommentar sier MEP Jan Phillipp Albrect ( De Grønne), som har ledet arbeidet i Parlamentet dette:

«Today’s negotiations hopefully have cleared the way for a final agreement … In future, firms breaching EU data protection rules could be fined as much as 4% of annual turnover – for global internet companies in particular, this could amount to billions. In addition, companies will also have to appoint a data protection officer if they process sensitive data on a large scale or collect information on many consumers”.

I morgen kl 09 00 begynner vi analysen av forslaget. Umiddelbart ser det ut som et godt forslag der personvernet er bedre ivaretatt en dagens regelverk. Debatten om foreldresamtykke for å bli kunder i Facebook blir svært interessant. Parlamentet stemmer overfor forslaget i morgen, og det må vedtas i hvert enkelt land, men alt tyder på at vi fra 2018 har et nytt regelverk på plass.

Fortsettelse følger……

Pressemeldingen fra EU-parlamentet

Mye stod på spill da justisministrene fra de 27 EU-landene nylig møttes i Rådet i EU i et forsøk på å definere spillereglene for behandling av personopplysninger i Europa.

Har klart å bli enige

Rådets siste bragd er en delvis enighet om ordlyden i to helt sentrale bestemmelser i den fremtidige personvernforordningen:

• Prinsippet om én behandling. Prinsippet om «én behandling – én myndighet» (one-stop-shop) omfatter regler for samarbeid mellom personvernmyndigheter i viktige transnasjonale saker. Tanken er at den behandlingsansvarlige skal kun forholde seg til én myndighet, selv om de behandler opplysninger i flere europeiske land. Bestemmelsene fastsetter hva oppgavene til de nasjonale personvernmyndighetene er, hvordan de skal håndtere en eventuell uenighet seg imellom og hvilke beslutninger som skal løftes til europeisk nivå. Bestemmelsene fastsetter også hvilke beslutningsmekanismer som skal til for å sikre enslydende tolkning av lovbestemmelsene. Dette er gode nyheter for store, multinasjonale bedrifter som opererer i flere land, og en hard nøtt å knekke for de av oss som jobber med å håndheve personvernrett i Europa.
• Hvordan beskytte personopplysninger. Bærebjelkene i beskyttelse av personopplysninger reguleres i forordningens kapittel II. Det er mye kjent stoff i teksten: Bestemmelser om behandlingsgrunnlag, grunnkrav til behandling av personopplysningene, vilkår for at samtykket skal kunne anses som gyldig, og regler som har å gjøre med samtykke fra barn. De strenge kravene vi i dag har til behandling av sensitive personopplysninger beholdes, og det er gitt adgang for medlemslandene til å vedta spesiallovgivning vedrørende behandling av personopplysninger på utvalgte områder (blant annet helse, arbeid, offentlig sektor, forskning og statistikk med offentlig interesse).

Med denne avtalen i boks på det som er det nest siste rådsmøtet i det latviske presidentskapet, kan det se ut som om drømmen om en fornyet, mer sammenhengende og mer moderne regelverk på personvernområdet er innen rekkevidde.

Fra før har flere brikker i den nye rettsakten falt på plass:

• Forordningens geografiske virkeområde. Kort oppsummert vil ikke-europeiske virksomheter måtte følge de samme reglene som de europeiske, dersom de velger å tilby tjenester eller varer til europeiske borgere, eller for eksempel å kartlegge bruksmønsteret til europeiske nettbrukere.
• Forordningens anvendelse i offentlig sektor. Dette er ingen overraskelse for oss, siden personopplysningsloven gjelder også behandlingen av personopplysninger i offentlige virksomheter. Det som virkelig er gledelig for oss er at Norge vil kunne beholde særreglene for behandling av personopplysninger i offentlig sektor, selv om disse skulle avvike fra forordningens bestemmelser.
• De behandlingsansvarliges og databehandlernes plikter. Denne delen skal vi komme tilbake til ved en senere anledning, siden temaet er verdt en egen diskusjon.
• Overføring av personopplysninger. Det er oppnådd enighet om bestemmelsene omkring overføring av personopplysninger til tredjeland eller internasjonale organisasjoner.
• Særskilte behandlinger av personopplysninger.  I praksis får medlemslandene adgang til å gjøre unntak fra forordningens regler når det gjelder behandling av personopplysninger for journalistiske, artistiske eller akademiske formål, i forhold til ytringsfriheten, vedrørende behandling av fødselsnummer og liknende. Det blir også muligheter for unntak når det gjelder arbeidsforhold eller til formål knyttet til arkivering, statistikk eller forskning.

… men alt er ikke bare en dans på roser …

Der 27 ulike nasjonale prioriteringer og interesser forsøkes forent, er det ikke overraskende at resultatet ikke blir optimalt. Sterke stemmer har allerede uttrykt bekymring for innholdet i Rådets forslag, som på noen områder legger opp til et lavere beskyttelsesnivå enn det som utgjør status quo etter personverndirektivet. Leder Isabelle Falque-Pierrotin i Artikkel 29-gruppen, EUs arbeidsgruppe for personvern, har i kjølvannet av EU-rådets vedtak forrige fredag kommet med en pressemelding der hun uttrykker bekymring for utvanningen av prinsippet om formålsbestemthet. Art 6 (4) i Rådets forslag tillater nemlig gjenbruk av personopplysninger som er innhentet til ett formål, til andre, uforenlige formål, dersom den behandlingsansvarlige har en berettiget interesse i at behandlingen finner sted. Denne bestemmelsen blir av personvernmyndighetene sett på som et frontalangrep på personvernet, sammen med det faktum at direkte markedsføring og forskning blir forstått som to forenlige formål for bruk av personopplysninger. Disse bestemmelsene vil mest sannsynligvis ikke stå uimotsagt verken i forkant av, eller i løpet av den såkalte trialogen mellom EU-rådet, -kommisjonen og -parlamentet.

Tre må være med på leken

Forestillingens siste akt er nemlig ikke spilt i Brussel. EU-kommisjonen, -parlamentet og -rådet må vedta likelydende tekster dersom forordningen skal bli vedtatt.

Rådets siste behandling av saken forventes i midten av juni. 14. og 15. juni skal justisministre fra de 27 EU-landene forsøke å lande noen overordnede prinsipper for forordningen. Dokumentet er frem til nå forhandlet kapittelvis under prinsippet «ingenting er avtalt til alt er fremforhandlet». Det skal da få en mer sammenhengende og ordentlig utforming og gjøres klart for den siste etappen i forhandlingene.

I juni vil Rådet få den formelle mandatet til å forhandle med Kommisjonen og Parlamentet. Da kan den myteomspunne «trialogen» begynne.

Personvernmyndigheter i EU- og EØS-landene venter spent på resultatene etter denne forestillingen, der høytstående representanter fra de tre EU-institusjonene vil danse seg frem til enighet etter en selvkomponert melodi.

Uansett hvor vellykket koreografien vil fremstå, vil den for en del av oss bli helt uforglemmelig. I alle fall vil forordningen som kommer som et resultat av den bli den helt sentrale rettsakten i Europa på personvernfeltet.

• Mer om EUs arbeid med ny lovgivning på Datatilsynets sider

Det er gått halvannet år siden Edward Snowden avslørte at NSA drev massiv overvåkning av vanlige borgere. Dette ga personverndebatten en ny omdreining og gjorde folk flest mer opptatt av personvern. Grunnen var trolig at avsløringene avdekket muligheten for overvåkning av de verktøyene vi bruker til daglig, som epost, telefon og vanlig surfing på internett, og at nærmest alle typer overvåkning er mulig dersom man har vilje og ressurser.

Jeg vil peke på tre hovedutfordringer for personvernet i året vi har foran oss:

– Forslag til nye overvåkningstiltak

– Ny personvernforordning fra EU

– Kommersiell bruk av personopplysninger

Regjeringen har varslet en ny «pakke» med terrorbekjempende tiltak. Det vil sannsynligvis bli fremmet forslag om at PST skal få drive såkalt dataavlesning, for eksempel ved å overvåke folks tastaturer. Det er allerede foreslått at politiet skal få adgang til å bruke catchere, av samme typen som Aftenposten nylig avslørte at er utplassert i Oslo sentrum.

Trolig kommer det også forslag om at politiet skal få større tilgang til offentlige registre. I august ba PST-sjefen om hjemmel til å bruke stordata for å drive analyse på folks nettbruk, ved å «samle inn større mengde informasjon over tid». Hun innrømmet at innhentingen av store mengder data vil «inneholde opplysninger om personer, som i utgangspunktet ikke oppfyller de krav til formålsbestemthet, nødvendighet og relevans for behandling av opplysninger som i dag gjelder for sikkerhetstjenesten».

Dette er et ytterliggående og farlig forslag. Heldigvis sa samtlige politiske partier nei til forslaget samme dag det ble fremsatt.

Det er all grunn til å være svært skeptisk til slike forslag. Siden terroraksjonen 11. september 2001 er det vedtatt en rekke lover som skritt for skritt har gitt politiet adgang til mer overvåkning og kontroll av befolkningen.

Det er en sentral oppgave for politikerne å tørre å stå imot og i ethvert tilfelle foreta grundige avveininger av personverninteressene opp mot andre interesser.

Politiet skal selvsagt ha gode virkemidler for å bekjempe alvorlig kriminalitet, men borgernes frihet må ikke ofres på veien. Flere av de forslagene som nå trolig kommer vil bidra til nettopp det.

Det er en sentral oppgave for politikerne å tørre å stå imot og i ethvert tilfelle foreta grundige avveininger av personverninteressene opp mot andre interesser. Det er derfor å håpe at regjeringen i året som kommer viser at de er opptatt av personvern i praktisk politikk, ikke bare på papiret.

Personvern berøres selvsagt langt ut over kriminalitetsbekjempelse. Neste år vil EU etter alt å dømme vedta en ny personvernforordning. Borgernes rettigheter styrkes, blant annet retten til å bli glemt. Alle som lagrer og bruker data vil bli pålagt større forpliktelser til å ha en skikkelig internkontroll og gode interne rutiner for behandling av data. Datatilsynet vil bli gitt mandat til å gi bøter i millionklassen.

Norske virksomheter og offentlige etater har en stor jobb foran seg. Vår tilsynsvirksomhet avdekker jevnlig store mangler i de interne rutinene for behandling av personopplysninger. Mange vet ikke hvilke opplysninger de har lagret internt, de mangler rutiner for innsyn og for sletting.

Personvern vil flyttes fra datarommene inn i styrerommene, til etatslederne og inn på ordførerens kontor.

For å etterleve det nye regelverket må det en helt annen systematikk inn i personvernarbeidet, og det må forankres på et mye høyere nivå enn i dag. Personvern vil flyttes fra datarommene inn i styrerommene, til etatslederne og inn på ordførerens kontor.

At personopplysningene våre brukes til å skreddersy reklame er ikke noe nytt, men 2015 vil bli året da dette virkelig tar av. I dag selges personprofiler på børser nærmest som om det skulle være råolje. Man kan selge eller kjøpe profilen til ti tusen tredveåringer med bilinteresse som også spiser sushi og jobber i offentlig sektor.

Schibsted, og nå senest flyselskapet SAS, har som mål å utnytte kundenes personopplysninger i mye større grad enn i dag til blant annet målrettet reklame. Dette utfordrer personvernet på flere områder og vil bli en av Datatilsynets hovedsatsinger neste år.

Særlig utfordrende er det at «noen» vil vite svært mye om oss. Ikke bare hva vi liker å gjøre, men gjennom vår nettadferd (som surfing og søk) avslører vi hva vi er engstelig for, hvilke politiske preferanser vi har, og vår seksuelle legning.

Ofte blir anonymisering pekt på som en løsning, men sammenstilling av i og for seg uskyldige og anonyme data kan entydig identifisere en person.

Det finnes for eksempel bare en person i verden som er 50 år, bor i Oslo, eier en gammel Fiat og har en Maine Coon katt. Og har man knekket den koden, er det enkelt å vite hva Bjørn Erik Thon er redd for, hvem han omgås og hvilket politisk parti han sympatiserer med.

Den 5. juni 2013 var Edward Snowden en ukjent mann. Kort etter var han på alles tunger. Nå er han foreslått som kandidat til Nobels fredspris og støttes av et imponerende knippe samfunnstopper.

Snowden avslørte at vår nærmeste allierte USA sto bak massiv overvåking av både Jørgen Hattemaker og Angela Merkel. Kilden til informasjonen var våre hverdagstjenester og arbeidsverktøy fra selskaper som Microsoft, Facebook og Google. Avsløringer av denne typen fører selvsagt til sterk kritikk og nedsettelse av refsende komiteer. Men hva har den egentlig virkningen av saken vært, nå ett år etter?

Oppslag i Washington post 7. juni 2013.

Ny personvernforordning

I flere år har EU jobbet med en ny personvernforordning. Arbeidet sto i stampe, og EU-parlamentet slet med å komme fram til enighet. Til manges overraskelse kom EU-parlamentet i mars i år fram til enighet om et forslag som på mange punkter styrket personvernet. Blant de interessante forslagene var at enhver behandling av data i Europa skal følge EUs regelverk. En amerikansk bedrift som retter sin virksomhet mot europeiske borgere kan altså ikke lenger unnskylde seg med at den ikke er etablert i Europa.

Datalagringsdirektivet kjent ugyldig

Datalagringsdirektivet ( DLD) ble vedtatt i Norge i april 2011 etter omfattende debatt, og loven skulle tre i kraft 1. juli 2015. I april i år kom imidlertid EU-domstolen til at direktivet var i strid med EUs charter for grunnleggende rettigheter. Domstolen la blant annet vekt på at datalagringsdirektivet på en alvorlig måte grep inn i borgernes grunnleggende rett til respekt for sitt privatliv og til beskyttelse av sine persondata. Lagring av trafikkdata kunne, ifølge dommen, gi borgerne en følelse av at deres privatliv var under konstant overvåking. EU-domstolen la stor vekt på at direktivet omfattet lagring av alle typer trafikkdata uten noen form for differensiering eller begrensning i lys av direktivets formål, som var å bekjempe alvorlig kriminalitet. Man burde altså skilt mellom ulike typer trafikkdata.

Lagring av trafikkdata kunne, ifølge dommen, gi borgerne en følelse av at deres privatliv var under konstant overvåking

Press for økt åpenhet

Snowdens avsløringer har naturlig nok også vakt reaksjoner hos de store teknologiselskapene. I et forsøk på å utvise åpenhet, og slå tilbake påstanden om at de hadde samarbeidet med sikkerhetsmyndighetene i USA, har stadig flere selskaper laget såkalte transparency reports. Der fremgår det blant annet hva slags og hvor mange henvendelser de har fått fra politiet i ulike land og hva slags opplysninger de etterspør. Microsoft og Google frontet et søksmål mot Justisdepartementet fordi de mente regelverket stengte for å offentliggjøre visse type opplysninger. Resultatet ble et kompromiss der selskapene bl.a. kunne offentliggjøre antall saker som falt inn under de såkalte FISA-regelverket (som gjelder registrering av utenlandske statsborgere) og det totale antall henvendelser de mottok fra myndighetene.

Økt interesse for personvern

Datatilsynet ønsket også å se om Snowden-saken har endret folks holdninger til personvern. I en undersøkelse høsten 2013 spurte vi folk om i hvor stor grad de var opptatt av personvern. 87 prosent svarte at de var ganske opptatt eller svært opptatt av personvern, mens kun 13 prosent svarte at de var lite opptatt av personvern. Tallene i 1997 var henholdsvis 77 prosent og 23 prosent. Vi spurte også om de hadde blitt mer eller mindre opptatt av personvern de to-tre siste årene. 49 prosent svarte at det var like opptatt, mens hele 46 prosent svarte at de var mer opptatt av personvern enn før. Tallene bekrefter vår antagelse, nemlig at folk er blitt mer opptatt av personvern.

Datatilsynets undersøkelse viser tydelig at folk har blitt mer opptatt av personvern de siste årene

Hva nå?

Jeg er ikke i tvil om at Snowdens avsløringer har hatt stor påvirkning på personvernforordningen, på DLD-dommen, på teknologigigantenes åpenhet og på folks holdninger til personvern. Personvern er blitt en interesse som ikke lenger kan overses. Hva så med Norge? Vi noterer med glede at DLD ble lagt bort og at gjeldsregisteret fortsatt ikke er vedtatt. Flere viktige saker nærmer seg regjeringens bord. Vil den følge opp PSTs forslag om å få overvåke folks tastaturer? Vil det komme forslag om et nytt, alternativt datalagringsdirektiv? Vil sikkerhet- og sårbarhetsutvalget i tilstrekkelig grad ta hensyn til at tung sikring av data ofte innebærer overvåking av enkeltmennesker? Vil gruppen som evaluerer EOS-utvalget overskue den enorme teknologiutviklingen som nå foregår i samfunnet og gi utvalget de musklene det trenger?

Personvern er blitt en interesse som ikke lenger kan overses.

Vi ser med tilfredshet at personvern er mer tilstede i debatten enn noen gang. Men det er mye tapt terreng å vinne tilbake. Vi får håpe EUs domstol og parlament inspirerer våre nasjonale beslutningstakere.

I går vedtok EU-parlamenter ganske overraskende et forslag som på flere områder er både fremoverlent og spenstig. Det er ingen hemmelighet at Edward Snowden og PRISM-avsløringene har vakt stor irritasjon og bekymring i mange europeiske land, og at dette har satt fart på arbeidet. Ikke minst først har det ført til at reglene på flere punkter har blitt skjerpet.

Vi har enda ikke hatt mulighet til å studere alle detaljer i teksten, men her er noen foreløpige høydepunkter:

Europeisk rett gjelder for alle – og det skal koste å bryte loven

All behandling av data som skjer i Europa skal følge europeiske regler. Som en representant i parlamentet sa: ” Driver du forretninger i Europa må våre regler følges”. Det betyr at ikke-europeiske selskaper som driver business i Europa ikke lenger kan skjule seg bak sitt eget lands regelverk og si at ”for oss gjelder amerikansk, ikke europeisk rett” ( PS: Eksemplet er ikke tilfeldig valgt). Alvorlig brudd på regelverket vil også kunne bøtelegges kraftig. Max-grensen er 100 000 000 Euro, eller 5% av selskapenes globale omsetning.

Rett til å bli glemt

Folk får en styrket rett til å bli glemt, det vil si en rett til å få sine data slettet. Det finnes tilsvarende regler i dag, men kommer nå klarere fram. Hensikten er ”å styrke  EU-borgerne, og særlig ungdom, sin makt og selvbestemmelse over sin egen identitet på nettet”. Retten gjelder også overfor tredjeparter dataene er delt med.

Innebygd personvern

Datatilsynet har i flere år vært opptatt av at personvern må bygges inn i de teknologiske løsningene så tidlig som overhode mulig etter prinsippene om innebygd personvern. Det blir nå lovbestemt at disse viktige prinsippene skal følges og at personvern skal bygges inn på et ”tidligst mulig tidspunkt”.  Personvern skal også være førstevalget. Her nevnes som eksempel når man er medlem i et sosialt nettsamfunn. Det betyr at brukerne i større grad enn i dag må si JA før det for eksempel innføres nye tjenester, og at tjenestene ikke i like stor grad kan tres nedover hode på folk.

Og hva nå?

EU-kverna er ikke ferdig med å male, og fortsatt gjenstår mye arbeid. Blant annet skal Rådet nå si sitt, og det vil sikkert bli endringer under marsjen. Det er også ting som ikke er bra med vedtaket, bl.a. er det lagt opp til en god del byråkratiske prosesser og det er usikkert hvor stor innflytelse Norge vil få i de nye EU-organene som foreslås. Det kommer jeg tilbake til i nye blogg-innlegg om ikke lenge. I mellomtiden kan hovedpunktene i forslaget leses her.