Datatilsynet har besluttet å ikke opprette en egen side på Facebook fordi usikkerheten til hvordan Facebook bruker disse dataene er for stor. I et innlegg den 13. oktober uttrykker Facebook overraskelse over at de ikke fikk bidra inn i vår vurdering og komme med utfyllende informasjon.

Her vil jeg forklare hvorfor vi både sa nei til Facebook, og til dialog under arbeidet vårt.

Facebook vet det meste om brukerne. De kjenner våre vaner, politiske oppfatning og hva vi spiser til middag. Med en Facebook-side ville vi bidratt til å fôre Facebook med informasjon om de som besøkte siden vår. Et «liker»-trykk på en artikkel der vi uttrykte skepsis til et nytt overvåkningstiltak, ville blitt en del av brukerens digitale tvilling på Facebook. Vi stilte oss dette spørsmålet: Kan vi forklare besøkende på vår side hva Facebook brukte opplysningene deres til? Svaret på spørsmålet er ganske enkelt nei. Vi ville heller ikke klart å oppfylle vilkårene i personvernforordningen om å ha kontroll på dataflyten.

Burde vi hatt dialog med Facebook som del av vår vurdering? For oss var det viktig å gjennomføre vurderingen som en hvilken som helst annen virksomhet. Vi tok samme utgangspunkt som en liten kommune, eller nettbutikken Garn & Tråd. Vi ønsket ikke særbehandling. Men Facebook er en lukket bok. De deltar sjelden i den offentlig debatten, inngår ikke særavtaler med enkeltvirksomheter, og opererer etter prinsippet «aksepter vilkårene, eller kom deg ut».

Facebook påpeker at de gir brukerne kontroll over eget innhold. Som alltid sier de at de ikke «selger personlig identifiserte data til tredjepartsaktører». Nei, Facebook vil helst ha dataene selv – men de tar betalt for at andre kan utnytte dem. Om min profil har navnet mitt øverst, er irrelevant. En analyse av min profil viser at Skeid er mitt favorittlag, og at jeg har en Maine Coon-katt. Det er mulig jeg tar feil, men jeg er trolig den eneste i verden som har disse to interessene. To opplysninger er altså nok til å identifisere hvem jeg er, selv uten navnet mitt som identifikator. I gjennomsnitt kan 68 registrerte «liker»-klikk fra en Facebook-bruker forutsi hudfargen deres med 95 % sikkerhet, og deres oppgitte seksuelle legning med 88 % sikkerhet.

Å fortsette å skjule seg bak frasen om at Facebook ikke selger data, er meningsløs.

Når det gjelder de andre tiltakene de ramser opp, er det snakk om hvordan brukerne kan kontrollere og få tilgang til egne data – men bare til en viss grad. Vurderingen vår er imidlertid mye videre. Vår konklusjon er at vi ikke vet hva Facebook bruker dataene til. Her er selskapet veldig vagt, og sier på sedvanlig vis at de etterlever regelverket, og at de har gjort alle sine avtaler tilgjengelig.

I vår vurdering har vi også lagt betydelig vekt på at vår tilstedeværelse på Facebook kan bidra til å legitimere lovligheten av Facebook. Omdømme har også vært sentralt. Facebook var dypt involvert i Cambridge Analytica-skandalen, og nylig sto en varsler fram og fortalte om svært kritikkverdige forhold i selskapet. Uten å ta stilling til riktigheten i sistnevnte påstander, er jeg glad for at Datatilsynet i dag ikke har en Facebook-side.

Facebook har nå vist en åpen linje ved å ty til noe så sjeldent som å skrive en kronikk. Jeg håper de fortsetter å vise samme åpenhet og svarer på disse spørsmålene:

– Hva bruker Facebook dataene som samles inn via en Facebook-side til? Hvordan profileres for eksempel ungdom som trykker «liker» på Helse Norges side der unge kan bestille kondomer?

– Helt konkret: Hvordan gir Facebook forståelig og meningsfull informasjon om hvordan disse opplysningene brukes?

– Hvordan vil Facebook bidra til at norske virksomheter kan oppfylle kravene i regelverket om å forstå og beskrive behandlingen?

– Hvordan er kravet om innebygd personvern ivaretatt av Facebook?

Vi møter gjerne Facebook til diskusjon. Vi vil stille dem spørsmålene over. Men mange vil ha betydelig interesse for svaret, som jeg håper de offentliggjør.

Det siste året har vi gjennomført 20 tilsyn med hvordan personopplysninger om barn håndteres ved skoler og barnehager. Grunnen er at skolen har vært gjennom en endring vi har sett i mange andre sektorer: Billigere og mer brukervennlig teknologi har blitt tilgjengelig. Samtidig som det offentliges ønske om å registrerer ulike typer opplysninger for å forbedre kvaliteten på skolen har blitt større.

Det er ingen ende på hva som kan registreres og lagres. Karakterer, orden, oppførsel, adferd og språkutvikling er noen eksempler. Det finnes også verktøy som gjør det mulig å logge hvilke nettsteder elevene har besøkt i skoletiden.

Det kan være gode grunner for å registrere alle disse opplysningene. Det krever imidlertid svært gode rutiner, god informasjonssikkerhet og ikke minst en gjennomtenkt holdning til hvorfor man skal lagre de ulike opplysningene, hva de skal brukes til og hvor lenge de skal lagres. Det er viktig å presisere at det er eierne av skoler og barnehager som er ansvarlig for å gjøre skolene og barnehagene i stand til dette. For offentlige skoler og barnehager er skoleeier kommune og fylkeskommune. For private skoler og barnehager er det øverste leder i virksomheten.

«Skoleeier trenger digital kompetanse og forståelse for personvern»

Vi har nå oppsummert tilsynene i en samlerapport; Personvern i barnehager og skoler. Blant hovedfunnene er:

• Skoleeier og skolene mangler oversikt over hvilke personopplysninger de faktisk har lagret
• Manglende risikovurderinger – skoleeier har med andre ord ikke vurdert sannsynligheten for at personopplysningene kan komme på avveier, hvilke konsekvenser det vil få, og hvilke sikkerhetstiltak som må på plass for å forhindre at det skal skje
• Deling av personopplysninger med tredjeparter, som for eksempel skyleverandører
• Uklarhet om hvem som egentlig har ansvar for at personopplysningene behandles skikkelig
• Logging av elevenes bruk av IKT

Selv om funnene er mange og alvorlige, har vi opplevd en sektor som helt klart ser at de har en utfordring, og som vil gjøre noe med den. Men kommunene, fylkeskommunene og virksomhetslederne trenger hjelp. Regelverket er ikke særlig enkelt å forstå, og mange eiere mangler kompetanse til å gjøre ting riktig. Derfor tar Datatilsynet nå initiativ til at det lages en norm for hvordan skolene skal behandle og sikre personopplysninger. Vi ser for oss en selvhjelpspakke til skoleeierne og skolene som blant annet kan inneholde huskelister, sjekklister, veiledere og annet materiale de kan bruke for å få hjelp til å følge reglene.

Mange må bidra for å få dette til. Vi skal så absolutt gjøre vårt. Men også vi trenger hjelp, først og fremst fra regjeringen gjennom et tydelig signal om at barnehagebarn og skoleelevers personvern skal ivaretas bedre. Da finner vi forhåpentligvis ikke feil neste gang vi kommer på tilsyn, men en skole som har nettopp det de skal lære elevene; solid digital kompetanse og forståelse for personvern.