Regjeringen ønsker å opprette nasjonale individdataregistre over barnehagebarn og skoleelever. Konsekvensen blir enda mer overvåking, og nok en gang settes barn og unges personvern under press.

Kunnskapsdepartementet jobber i disse dager med et nytt lovforslag som har vært på høring. Målet er å opprette to nasjonale registre med personopplysninger om alle landets barnehagebarn og skoleelever. Forslaget innebærer et radikalt inngrep i befolkningens, og særlig barnas, personvern. Vi er derfor svært bekymret for hvor liten oppmerksomhet dette vies i offentligheten.

Se Datatilsynets høringssvar på lovforslaget.

Mangelfull utredning og manglende vurderinger

Begrunnelsen for å opprette registrene, er et ønske om sentrale datakilder som skal gi et bedre kunnskapsgrunnlag for styring og utvikling av barnehagen og skolen. Vi anerkjenner at det trengs mer kunnskap om skolens bidrag til læring. Registrering og kobling av personopplysninger innebærer samtidig en betydelig svekkelse av personvernet. Det avgjørende spørsmålet er om denne svekkelsen kan forsvares opp mot samfunnsnytten. Utdanningsforbundet og Datatilsynet mener at departementet ikke har besvart dette spørsmålet, og at vurderingene deres ikke er begrunnet godt nok. 

Høringsforslaget mangler blant annet beskrivelser av konkrete utfordringer som skal løses, hvilke typer løsninger registrene kan bidra til eller hva samfunnsnytten egentlig består i. At det faktisk innebærer et inngrep i personvernet når staten registrerer og lagrer store mengder sensitive personopplysninger om alle barn og unge, er heller ikke synliggjort i tilstrekkelig grad.

I en tid med stor politisk uro, og risiko for skadelig bruk av personopplysninger, er det betimelig å understreke at datasikkerhet alene ikke er et absolutt vern mot misbruk av omfattende individregistre. Selv om en rekke datasikringstiltak iverksettes, vil ikke slike tiltak kompensere for det store personverninngrepet opprettelsen av individdataregistrene innebærer. 

Overvåkning uten samtykke

Gjennom høringsnotatet er det lett å forledes til å tro at individregistrene er uproblematiske og lite kontroversielle. Departementet foreslår imidlertid å opprette registre med et svært generelt formål, en vid adgang til å utlevere individdata til forskningsformål uten kontrollmuligheter og en tilnærmet ubegrenset adgang til å koble persondata mot andre statlige registre. Potensialet i disse opplysningene er at de kan gi et fullstendig bilde av et enkeltindivids liv fra vugge til grav.

I tillegg innebærer forslaget at til dels svært sensitive personopplysninger om alle barn i Norge skal registreres uten krav om samtykke eller en mulighet til å reservere seg. Med dette fratas også foreldrene sin mulighet til å beskytte sine barns personlige integritet. Barna og foreldrenes personvern svekkes ytterligere når det ikke gis adgang til grunnleggende rettigheter som å protestere, be om sletting eller retting av egne personopplysninger. 

Svekket personvern svekker tilliten i samfunnet

Personvern er en fundamental demokratisk verdi, som legger grunnlag for ytringsfrihet, informasjonsfrihet og meningsdannelse. Personvern er med andre ord avgjørende for tilliten i samfunnet, både mellom borgerne og ikke minst mellom borgerne og staten.

Regjeringens ønske om å opprette individregistre innebærer en endret maktbalanse mellom myndighetene og enkeltindividet. Dette kan føre til en generell svekket tillit til staten.

Følg Grunnloven

For litt over 15 år siden ble lignende registre foreslått, men forkastet av hensyn til personvernet. Siden den gang har personvernet fått en sterkere posisjon i norsk lovgivning. Ved grunnlovsjubileet i 2014, vedtok Stortinget å styrke vernet om den personlige integriteten i Grunnlovens § 102. Det er altså ikke mer enn drøyt 10 år siden vi fikk grunnlovsfestet at «statens myndigheter skal sikre et vern om den personlige integritet».

Om regjeringen nå velger å se bort fra dette, må Stortinget være seg sitt ansvar bevisst og sikre at Grunnlovens personvernbestemmelse også får reell betydning for barn og unge i Norge. 

I likhet med ekte intelligens, må kunstig intelligens lære selv, for å utføre en oppgave. Det ligger i kunstig intelligens’ natur at du ikke på forhånd kan bestemme akkurat hvordan den vil lære seg noe. Noen ganger oppstår også hell i uhell, og du oppdager at du kan bruke KI-en til flere, eller andre ting, enn den var utviklet for.

Åpenhet om formål

Når kunstig intelligens skal lære av eller brukes på personopplysninger, stiller regelverket krav om at man er åpen om formålene med bruken. Personene som opplysningene gjelder – de registrerte – har krav på å vite hva opplysningene skal brukes til. Denne informasjonen skal man få før personopplysningene samles inn.

Åpenhet har vært hovedtema for prosjektet Ruter har deltatt med i Datatilsynets KI-sandkasse. Ruter planlegger å bruke kunstig intelligens i sin app for å tilby kundene persontilpassede reiseforslag. I sandkasseprosjektet har Datatilsynet og Ruter diskutert hvordan de kan være åpne om behandlingen av personopplysninger i denne løsningen.

Les sluttrapporten fra Ruterprosjektet, «I rute med kunstig intelligens».

Det kan være vanskelig å på forhånd vite hvilken bruk av personopplysninger som trengs for å få den kunstige intelligensen til å virke som den skal. I tillegg kan den kunstige intelligensen vise seg å ha flere bruksområder når den er blitt opplært. I motsetning til Ruters bussruter, som skal være så forutsigbare som mulig, vil det være en styrke for Ruters app om den overrasker med nye måter å reise bedre på. Stenger da regelverket for å gjøre noe utover det du så for deg i utgangspunktet?

Hvor mye skal til?

Vi kan omformulere spørsmålet til hvor mye du må få vite før personopplysningene dine samles inn. Regelverket krever at formålene skal være spesifikke, uttrykkelig angitte og berettigede. Du kan altså ikke invitere på blåtur i forstand av så brede formål, at man i realiteten ikke forstår rekkevidden av hva personopplysningene kan brukes til. Når du har angitt formålene, setter de skranker for hvilken bruk som er tillatt. Oppdager du senere at det er verdifullt å bruke personopplysningene til et nytt formål? Ja, da må du gjøre nye vurderinger og finne et nytt rettslig grunnlag for bruken. Og ikke minst – la være å gå videre med det nye formålet, om du ikke finner dekning for det.

Et hovedhensyn er at måten personopplysningene behandles på skal være forutberegnelig. Bruken må knytte seg tett nok opp mot det formålet som var definert ved innsamling. På den måten får de registrerte en større grad av kontroll over hvordan noen bruker personopplysningene deres. Hvis man ser at bruken i realiteten knytter seg til et annet formål, skal den som hovedregel ikke skje, med mindre man starter på nytt med nye vurderinger og tiltak som kan gjøre bruken lovlig.

Forutsigbarhet for de registrerte er avgjørende for tillit. Tillit er viktig når man skal la kunstig intelligens jobbe med folks personopplysninger. Så hvordan skaper du forutsigbarhet ved bruk av et verktøy som (delvis) har uforutsigbarhet som sin styrke?

Å avgrense formål

Når du først har identifisert alle bruksområder du kan se for deg, og bestemt deg for hvilke formål du vil forfølge, kommer spørsmålet om hva som hører inn under ett og samme formål opp. Selv om ulik bruk av personopplysninger i den kunstige intelligensen kan utfylle ulike oppgaver, kan bruken høre til samme formål.

I sandkasseprosjektet diskuterte Ruter og Datatilsynet for eksempel om behandling av personopplysninger for å gi persontilpassede reiseforslag og etterlæring av den kunstige intelligensen er to separate formål. Ruter forklarte, at det er vanskelig å få til det ene uten det andre. For at den kunstige intelligensen skal klare å gi gode, persontilpassede reiseforslag, må den stadig læres opp. For eksempel må den tilpasse seg endringer i reisemønster.

Man kan altså se det slik at etterlæringen er en behandlingsaktivitet som hører inn under formålet om å gi persontilpassede reiseforslag. Det samme kan sies om retting av feil eller justering av elementer den kunstige intelligensen legger vekt på før den gir et reiseforslag.

Bruk for nye formål

Ruter har planlagt å legge til rette for god informasjon om formålene de kan se for seg allerede ved innsamling. Hvis det senere oppstår behov for å oppfylle nye formål, som de ikke så for seg ved innsamling, kan de i utgangspunktet ikke gå videre med bruken. Det finnes likevel mulighet for å oppfylle det nye formålet, dersom det er forenelig med det opprinnelige formålet.

En type bruk, som i regelverket er angitt som forenelig uansett opprinnelig formål, er bruk for statistiske formål. Såfremt du sørger for å avidentifisere og beskytte opplysningene i så stor grad som mulig, samt å informere om ny bruk, kan bruk for statistiske formål være mulig selv om det er et nytt formål. I den grad du ser for seg en slik bruk allerede på innsamlingstidspunktet, må du likevel informere om det som et eget formål allerede da.

Fordel å ha tunga rett i munnen fra starten av

Når du skal bruke personopplysninger, må du ta noen hensyn som kan være krevende ved utvikling og bruk av kunstig intelligens. Bruksmulighetene begrenses ut fra hva slags informasjon man har gitt til de registrerte ved innsamlingen.

Man må planlegge godt. Det betyr å informere godt – ved innsamling – om alt du planlegger å bruke personopplysningene til. Godt forarbeid på dette området vil kunne gjøre jobben med den kunstige intelligensen lettere i et langsiktig perspektiv. Da får man en vinn-vinn-situasjon for virksomheten og for de registrerte.

På lørdag skrev Øyvind Husby at Datatilsynet bommer om felles behandlingsansvar ved bruk av Facebook-side. Han sier dette er problematisk fordi vi som tilsyn forventer at vår vurdering skal være en mal for andre.

Vi har vært tydelige på at vi ikke opptrådte som tilsyn da vi vurderte vår bruk av Facebook. Vi har presisert at man ikke trenger å bruke samme metode som oss og at alle må gjøre sine egne vurderinger.

Misforstått

Når det gjelder jussen, ser Husby ut til å tro at det må foreligge en eksplisitt avtale om formål og midler for at felles behandlingsansvar skal inntre.

I Wirtschaftsakademie- og Fashion ID-dommene som Husby peker på, forelå det ingen enighet mellom partene. Partene brukte dessuten personopplysninger til litt ulike ting. Likevel konkluderte EU-domstolen med felles behandlingsansvar. Begge parter bidro nemlig til innsamling av data og å sette rammene for behandlingen, samtidig som de hadde en felles økonomisk interesse. Det er dette vi har lagt til grunn i våre vurderinger.

I førstnevnte dom finner vi uttalelser om omfanget av felles behandlingsansvar for Facebook-sider. Vi er enige med IKT-Norge i at man ikke har ansvar for alt som skjer på Facebook, men basert på dommens ordlyd kom vi frem til at omfanget av felles behandlingsansvar er videre enn hva Facebook legger opp til i sitt avtaleverk. IKT-Norge ser ut til å stole blindt på dette avtaleverket.

Huseby får det til å se ut som at vi står alene i vår forståelse, men vår tolkning er i tråd med retningslinjene til Personvernrådet, der alle 30 datatilsyn i EØS er medlemmer.

Vranglære

At andre er uenig i vår risikovurdering, er uproblematisk. Her prøver imidlertid IKT-Norge, et interesseorgan som representerer Facebook, å snu opp ned på det EU-domstolen har sagt om Facebook.

Det er skremmende, men ikke nytt.

Schrems II-dommen, som også gjaldt Facebook, sier litt forenklet at USA ikke har god nok beskyttelse av personopplysninger. Facebook har tolket seg bort fra dommen og sender derfor data fritt til USA likevel.

Vi vet at Facebook ofte gjemmer seg bak interesseorganer når de skal lobbe. Dette er vanlig taktikk i Brussel, og vi må være oppmerksomme på det samme her hjemme.

Udemokratisk

Husby avslutter innlegget sitt med å påpeke demokratisk deltakelse – og det er kjernen av problemet.

Facebook bestemmer hvem som får og ikke får se ulike budskap, basert på inngripende sporing som kan medføre nedkjølingseffekt. Nylige avsløringer viser at algoritmene premierer destruktivt og splittende innhold, og Facebook har blitt anklaget for å bidra til vold mot rohingyaene i Myanmar.

At Facebooks interesseorganisasjon skal definere demokratisk deltakelse, er mildt sagt problematisk.

Vårt mål er at Facebook skal respektere demokratiet og rettighetene våre. Det er trist at IKT-Norge har andre mål.

Dette innlegget ble først publisert i Dagens Næringsliv (02.02.22), og er skrevet av konstituert direktør Janne Stang Dahl og seksjonssjef Tobias Judin.

Mandag 21. januar ble blåmandag for Google LLC, da det franske datatilsynet (CNIL) ga selskapet en bot på 50 millioner euro.

Dette er det fjerde overtredelsesgebyret som er skrevet ut i Europa etter at personvernforordningen (GDPR) kom i fjor. Gebyret i den franske saken er det suverent høyeste. Med sine 50 millioner euro vekker det oppsikt. Samtidig må det franske gebyret ses i lys av at Google LLC hadde en global omsetning på ca. 100 milliarder euro i 2017.

Flere alvorlige lovbrudd

CNIL mener at Google har gjort seg skyldig i flere alvorlige lovbrudd når det har rullet ut Android på det europeiske markedet. Går man den franske avgjørelsen nærmere etter i sømmene, er det flere interessante poenger å merke seg. Her er tre.

1. For dårlig informasjon

CNIL slår fast at Google har gitt brukerne sine alt for dårlig informasjon. Den franske myndigheten viser blant annet til at informasjon som brukerne skal ha før tjenesten tas i bruk, er spredt over mange dokumenter. For å få oversikt over hvilke deler av brukervilkårene og policy-ene som handler om personopplysninger, må man hoppe frem og tilbake via ulike dokumenter og hypertekstlenker. Man må dessuten dykke hele seks nivåer ned i informasjonsarkitekturen for å finne all relevant informasjon om Googles behandling av brukerdata for tilpasset markedsføring.

Dette oppfyller ikke lovverkets krav om at informasjon om behandling av personopplysninger skal være forståelig og lett tilgjengelig, er CNILs konklusjon.

2. Googles informasjon om geografisk sporing er også altfor dårlig

Dette temaet må man gjennom en tilsvarende digital runddans for å få oversikt over. Det franske datatilsynet kommenterer at måten denne informasjonen er presentert på er «blottet for enhver form for intuitiv karakter», og beskrivelsen av fremgangsmåten man må gjennom, kan få en til å tenke på noen av Becketts mest absurde tekster.

Mest alvorlig er det likevel at det er så vanskelig for den alminnelige bruker å forstå hvor massiv og invaderende Googles informasjonsinnsamling er. Det dreier seg ikke bare om data om tradisjonell bruk av selve telefonen, men potensielt også om persondata knyttet til så mye som 20 andre Google-tjenester, blant annet Gmail og Youtube.

Hvis brukeren tar seg fra en Google-tjeneste til en tredjepartsnettside, blir også denne aktiviteten sporet og registrert, ved hjelp av Google Analytics-informasjonskapsler. Det skal ikke mye fantasi til for å skjønne at dette gir Google tilgang til enorme mengder data om Android-brukere, og det uten å informere om det på en forståelig måte.

3. Ugyldige samtykker

CNIL er ikke enig i at brukerne har samtykket til alt dette, slik Google hevder. CNIL mener at samtykkene som Google innhenter i forbindelse med at tjenesten tas i bruk, er ugyldige. Det er to grunner til dette. Et gyldig samtykke må alltid være informert, og dette kriteriet er ikke oppfylt.

Den andre grunnen er at samtykkene verken er spesifiserte eller utvetydige, slik loven krever. Når brukeren skal avgi sitt samtykke, presenteres hun for avkrysningsbokser som er krysset av på forhånd, av Google. Dersom brukeren forholder seg passiv, har hun ifølge Google samtykket. CNIL viser på sin side til at det kreves en utvetydig viljeserklæring fra brukeren for at samtykket skal være gyldig, og at dette vilkåret ikke er oppfylt når brukeren forholder seg passiv.

Til slutt viser CNIL til at kravet om at et samtykke må være spesifikt heller ikke er oppfylt. Grunnen til dette er at brukeren kun har mulighet til å samtykke til Googles samlede retningslinjer og policy, og ikke til nærmere spesifiserte behandlinger av personopplysninger til konkret angitte formål.

Verdifull rettesnor

Den franske avgjørelsen er interessant for oss i Norge av flere grunner. Som tilsynsmyndighet har Datatilsynet fått verdifulle rettesnorer for vurdering av sentrale bestemmelser i det europeiske personvernregelverket, og om størrelsen på gebyrene som utmåles. Bakteppet er her målsetningen om et harmonisert personopplysningsvern i Europa, både når det gjelder regelverkets utforming, realisert gjennom GDPR, og gjennom en harmonisert praktisering av disse reglene. Saken kan bli overprøvd av Conseil d’Etat, men det er uansett nærliggende å tro at Google allerede nå vil innrette seg etter omgangen med CNIL, noe som forhåpentligvis vil føre til større åpenhet om hvordan Google behandler våre personopplysninger, og større valgfrihet for oss som bruker Googles tjenester her i Norge.

Filterkortet med blodprøver lagres etter at testen er gjennomført for helsehjelp, kvalitetskontroll og metodeutvikling. Etter gjeldende forskrift skal prøvene destrueres etter 6 år. Nyfødtscreeningen ble regulert i forskrift for genetisk masseundersøkelse av nyfødte i 2011.

Den spesielle samtykkesituasjonen
Sett fra et forskningsperspektiv er det svært nyttig å ha tilgang til blodprøvene fra nyfødtscreeningen dersom lagringstiden utvides, fordi programmet har nesten 100 % oppslutning. Dersom plikten til å slette blodprøvene etter en viss tid oppheves, vil biobanken etter hvert inneholde blodprøver fra alle som er født i Norge etter 2011. Resultatet av den foreslåtte lovendringen er derfor at det legges til rette for etablering av en nasjonal biobank. Vi mener at omstendighetene rundt den nyfødte og foreldrene på det tidspunktet screeningen gjennomføres er uegnet til å innhente samtykker som omfatter lagring av blodprøvene til forskningsformål.

Så og si alle møter opp til screeningen. Det er ikke tilfeldig at jeg sier «møter opp» og ikke «samtykker». De aller fleste nybakte foreldre som oppholder seg på landets barselavdelinger mellom 48 og 72 timer etter fødsel gjør som de blir bedt om av helsepersonell. Man får tildelt tid for screening og henvises til et sted der prøven tas til rett tid. Har du reist hjem tidlig blir du bedt om møte opp dagen etter for å gjennomføre testen. Screeningen er frivillig, men formålet er å utelukke at den nyfødte har en av  sykdommene den screenes for. Dette er en naturlig forklaring på hvorfor oppslutningen om screeningen er så stor.

De første døgnene etter en fødsel fortoner seg sikkert ulikt for de fleste, men vi mener omstendighetene rundt fødselen tilsier at screeningen oppfattes som en del av det ordinære helsetilbudet og at familien å dette tidspunktet ikke tar stilling til om de ønsker at blodprøven skal lagres for forskningsformål. Det man gjør når man møter opp til testen er å akseptere et tilbud om forebyggende helsehjelp. I praksis betyr dette at man ikke motsier seg tilbudet.

• Det innhentes ikke et uttrykkelig, informert eller frivillig samtykke til at blodprøven kan lagres, slik at den kan benyttes til forskning.
• Man blir ikke informert om hva det betyr at blodprøvene kan benyttes til genetisk forskning eller forskning på arvelige egenskaper hos barnet.
• Man blir ikke informert om at resultater av genetiske analyser kan kobles mot andre helseopplysninger om barnet, barnets foreldre og andre slektninger og sammenliknes med resten av befolkningen, eller andre utvalgte som forskere finner det relevant å sammenlikne mot.

Omstendigheten rundt screeningen innebærer i praksis at inklusjonskriteriet til den nasjonale biobanken er slik: Blir du født, er du med!

Som plaster på såret, eller ulempereduserende tiltak som det heter i personvernretten, lanseres retten til å trekke samtykket tilbake. Retten til å trekke et samtykke tilbake har man uansett, alltid. Men det går ikke an å trekke tilbake et samtykke til forskning som aldri er gitt, og det handler i realiteten om en reservasjonsrett. Du skal som forelder få informasjon når barnet er mellom ett og to år, slik at du kan «si fra» dersom du ikke ønsker at prøven lagres til forskningsformål. Dersom du på det tidspunktet sier at du vil ha prøven slettet fordi du ikke ønsker at prøvene skal lagres til evig tid, vil det i første rekke gå ut over nyfødtscreeningen, som faktisk trenger disse opplysningene og blodet i en viss tid for å kvalitetssikre den behandlingen de gir til syke barn og utvikle bedre tester i programmet.

Dette er uheldig, dersom det foreldrene egentlig ønsker er å reservere seg mot evig lagring og forskning generelt. Forskning i regi av nyfødtscreeningen har til nå bare skjedd etter uttrykkelig samtykke fra foreldrene. Dersom opplysningene gjøres tilgjengelig for all medisinsk forskning samtidig som omfanget av biobanken blir «hele befolkningen», vil etterspørselen etter materialet bli større enn i dag. Samtykke fra de registrerte er ikke den praktiske hovedregelen i store befolkningsstudier.

For den alminnelige mann i gata er det ikke så enkelt å forstå hva som er forskjell på forskning i og utenfor nyfødtscreeningen. Til de som ser på temaet som svært forvirrende så er det enkleste svaret vi kan gi at det som skjer i regi av nyfødtscreeningen handler om å utvikle bedre testmetoder og kvalitetssikre helsehjelpen som gis til de screenede barna.

Forskning som skjer i regi av forskningssektoren generelt handler ikke om barnet ditt, men om generelle helsespørsmål, sammenhenger mellom arvelige egenskaper og særtrekk i befolkningen, grupper av befolkningen, pasientgrupper eller enkelttilfeller. Det kan være diagnoser eller andre egenskaper som er særegne eller helt vanlige. Formålet med denne forskningen vil fremgå i beskrivelsen av det enkelte forskningsprosjektet. Formålet kan oppstå i morgen, om 5 år eller om 50 eller 100 år. Poenget er at vi ikke vet det per i dag.

Vi mener det er feil å tillate lagring av prøvene i Nyfødtscreeningen ut over den tiden som anses nødvendig for å drive et forsvarlig screeningprogram. Forskning er et annet formål enn helsehjelpen som tilbys de nyfødte og foreldrenes samtykke på vegne av barna oppfyller ikke kravene som stilles til et gyldig samtykke til forskningsformål. 

Filterkortet som blir fylt ut i forbindelse med nyfødtscreeningen

Opprettelsen av en nasjonal biobank krever sin egen debatt
Bakgrunnen for lovforslaget er at tiden nå er inne for å destruere blodprøver fra 2011 fordi seks år har gått. Nyfødtscreeningen har behov for utvidet lagringstid og har bedt om en endring slik at prøvene kan lagres i 10 til 15 år. Forskningsmiljøene fortviler over at en så nyttig kilde til kunnskap destrueres etter en viss tid og har fremmet forslag om at prøvene lagres til evig tid.

Vi ønsker oss ikke en debatt om nyfødtscreeningens formål og deres behov for utvidet lagringstid for å sikre forsvarlig helsehjelp, kvalitetskontroll og metodeutvikling.

Vi ønsker heller ikke en debatt om i hvilken grad nyfødtblod fra hele Norges befolkning vil være nyttig for medisinsk og helsefaglig forskning. Det er åpenbart at en slik samling blodprøver vurderes som gull i banken for forskningsmiljøene i Norge og i resten av verden. I denne banken vil det ligge DNA fra alle nordmenn født i 2011 og senere. Både de friske og de syke. Etter hvert som blodet analyseres – gjennom flere eller ett enkelt forskningsprosjekt, vil man sitte igjen med en samlet registrering av arvematerialet til hele befolkningen knyttet til identitet. Analyseresultatene kan kobles mot andre helseopplysninger om oss og skape grunnlag for en uendelig mengde studier av våre geners betydning for våre liv og vår helse.

Vi ønsker oss derfor en debatt der det erkjennes at etablering av en nasjonal biobank er et stort og viktig tema som krever at vi stiller spørsmål til om, i hvilken grad, hvordan, og på hvilket rettslig grunnlag vi ønsker å etablere en slik biobank i Norge.

Vi vil ha en debatt som fokuserer på babyens og barnets personvern, hver enkelt innbyggers selvbestemmelsesrett og hver enkelt forelders rett til å vurdere om det er trygt og forsvarlig avgi sitt barns DNA til en nasjonal biobank til forskningsformål.

Vi ønsker denne debatten løsrevet fra forhold knyttet til driften av nyfødtscreeningen og vi mener det er feil at spørsmålet om evig lagring blandes inn i spørsmål om endringer som er nødvendige for å drive og utvikle et forsvarlig screeningprogram. Sammenblanding av screeningprogrammets formål og nytteverdi for den enkelte med forskningens formål og nytteverdi for samfunnet, innebærer at lovforslaget om evig lagring kan oppfattes som nødvendig for å følge opp og gi nødvendig helsehjelp til barna som screenes. Derfor er det viktig å få frem at behovet for evig lagring –eller lagring på ubestemt tid, bare begrunnes med at dette er nyttig for forskningsformål.

Forebyggende helsehjelp oppfattes som nødvendig for de fleste, mens det er og skal være opp til den enkelte å bestemme om man –på vegne av sitt barn- ønsker å avgi barnets blodprøve til en nasjonal biobank for forskningsformål.

Hva er spesielt med biobanken i nyfødtscreeningen?
Det er ganske vanlig at biologisk materiale som samles inn i helsetjenesten lagres i diagnostiske biobanker. De regionale forskningsetiske komitéene kan tillate bruk av slikt materiale i forskningsprosjekter, noe de gjør når det mener det er grunnlag for det. Det kreves som hovedregel at det innhentes nye samtykker fra de som har avgitt materialet, men i såkalte befolkningsstudier utføres slik forskning som regel uten at det innhentes nytt samtykke. Dersom vi ikke ønsker at prøver av oss samlet inn i helsetjenesten skal benyttes til forskningsformål kan vi reservere oss mot dette i et register som heter Biologisk forskningsreservasjon.

Det primære formålet med en diagnostisk biobank er kvalitetssikring av helsetjenestene som gis på sykehuset, metodeutvikling og pasientbehandling. Det finnes også en rekke store og små forskningsbiobanker i landet, men disse er basert på uttrykkelige, informerte og frivillige samtykker fra forskningsdeltakerne og bruken av materialet er regulert og informert om på forhånd. Dersom det er avgitt såkalte brede samtykker til forskning, stilles det krav om jevnlig informasjon til forskningsdeltakerne slik at de skal ha oversikt over hva materialet brukes til.

Det spesielle med nyfødtscreeningens diagnostiske biobank, dersom lovforslaget vedtas, er at den vil inneholde blodprøver fra hele befolkningen, og at blodprøvene er unike i forskningssammenheng fordi de er hentet fra nyfødte. Blodet er derfor særlig egnet til å studere hvordan miljøet påvirker oss. Man kan i fremtiden innhente nye blodprøver, sammenlikne dem med den som ble tatt da du ble født og studere sammenhenger mellom arv, miljø og helse.

Den egentlige grunnen til at prøvene tas fra nyfødte er at disse har markører i blodet som forsvinner etter hvert, men som er avgjørende for at de biokjemiske testene man benytter skal vise riktig resultat. De genetiske dataene, eller DNA’et som finnes i blodet vil være det samme som man finner i blodet til voksne. Screeningens biobank er derfor ikke det eneste alternativet man kan ta utgangspunkt i dersom man ønsker seg en nasjonal biobank til genetiske forskningsformål. Men det er et hensiktsmessig utgangspunkt dersom målet er at hele befolkningen skal inngå i en og samme biobank.

Konsekvenser av evig lagring er ikke vurdert
Etter hvert som nyfødtscreeningens biobank omfatter hele befolkningen, vil dette materialet få økt verdi også ut fra et risikoperspektiv. Det må kunne garanteres at materialet ikke kommer på avveie eller benyttes i strid med avgiverens og samfunnets vilje. Dersom det samfunnet vi har i dag endrer seg, kan det til og med hende at «samfunnets vilje» ikke samsvarer med befolkningens eller individets antatte vilje. At bruken av materialet i biobanken er regulert i helseforskningsloven er ikke en garanti for at materialet ikke misbrukes eller på annen måte benyttes i strid med avgiverens vilje.

Lovforslaget mangler reelle vurderinger av hvilke konsekvenser evig lagring kan få for personvernet til barna som blodet er hentet fra. Det mangler også en reell risikovurdering der det drøftes og synliggjøres hvilke forhold som må tas i betraktning for å sørge for tilstrekkelig sikkerhet og forsvarlig bruk av materialet i biobanken. Verdien av materialet øker i takt med størrelsen på banken og risikobildet øker i takt med verdistigningen. Forslaget inneholder heller ingen drøftelser av etiske problemstillinger rundt det å legge til rette for en nasjonal samling av hele befolkningens blodprøver.

Lovforslaget konkluderer med at evig lagring er et nødvendig inngrep i befolkningens rett til privatliv og at inngrepet kan forsvares fordi samfunnsnytten av fremtidig forskning antas å være større enn ulempen for enkeltindividene. Risiko- og personvernkonsekvenser er ikke identifisert, drøftet eller vurdert i tilstrekkelig grad.

Dette lovforslaget fremmer behandling av helseopplysninger langt ut over det som er nødvendig for å oppnå formålet opplysningene er samlet inn for, i strid med innspill og bekymringer fra Bioteknologirådet, Legeforeningen, nyfødtscreeningen selv og Helsedirektoratet med flere, i tillegg til Datatilsynet. Alle disse aktørene er bekymret for befolkningens tillit til helsetjenesten og etterlyser en reell debatt og skikkelige vurderinger av etiske spørsmål, risiko- og personvernkonsekvenser knyttet til etablering av en nasjonal biobank.

Dersom Stortinget vedtar dette lovforslaget slik det foreligger i dag, tar de en beslutning på vegne av oss alle uten at viktige spørsmål om etikk og personvern er redegjort for i lovforslaget. Jeg håper virkelig at politikerne ser at denne utvidelsen ikke handler om å gi nødvendig helsehjelp, men at det handler om å gi forskningsmiljøet en nyttig ressurs som de ikke ville hatt mulighet til å få om det ikke hadde vært for Nyfødtscreeningen og oppslutningen om denne.

Realitetsorientering
På Island er store deler av befolkningen DNA-analysert. Det er delte meninger om rekrutteringsprosessen og vervingen til å bli med på dette prosjektet, men Islendingene har i alle fall blitt spurt om de vil bidra. De nyfødt barna i Norge vil aldri bli spurt, slik regjeringens lovforslag nå ser ut. De vil bli informert når de er 16 år og får anledning til å kreve materialet slettet. Foreldrene deres blir heller ikke spurt om å bidra til forskning, de blir bedt om å teste barnet for alvorlig sykdom og aksepterer et tilbud om forebyggende helsehjelp. Hvis de husker på det når de kommer hjem fra sykehuset, kan de reservere seg forutsatt at de i livets nye kaos finner frem til skjemaet på nettsiden til screeningen, og husker å sende det inn.

Vi vil ha en debatt der det diskuteres om og i hvilken grad vi kan akseptere den risikoen det er å samle alle innbyggernes blodprøver på ett sted, slik at det enkelt kan gjennomføres DNA-analyser av hele befolkningen. I teorien kun av de som har et etisk forsvarlig og samfunnsnyttig formål, i praksis av enhver som får tilgang til materialet i denne banken, eller til registeret der DNA-analysene er registrert. Det kan være hos en ekstern part som har fått lovlig tilgang for å gjøre analyser. Det bør være i et system som er sikret mot all verdens forsøk på inntrengning fra verden rundt –sikrere enn banken.

Vi vet at genetiske analyser blir billigere å gjennomføre dag for dag. Tilgangen til andre data om hver enkelt innbygger bli stadig større og det er et viktig mål i forskningssektoren å gjøre det enklere å få tilgang til helsedata for forskning.

Vi vet også at det finnes større trusler i verden enn det som skjer i forsknings- og helsesektoren. Interessen for helsedata på det åpne/kommersielle markedet er enorm og vi mener det er gode grunner til å anta at det er stor interesse for denne type data også på det markedet som ikke er fullt så åpent og slett ikke regulert.

Vi vil derfor ha en debatt der det stilles spørsmål om i hvilken grad det er etisk forsvarlig av Staten å beslutte at vi beholder noe vi anser som verdifullt for forskningsformål, fordi vi allerede har samlet inn dette materialet for et helt annet formål, nemlig livreddende, forebyggende helsehjelp til nyfødte.

Vi vil ha en debatt som handler om hva som kan skje med tilliten til nyfødtscreeningen dersom foreldrene innser at de ved å møte opp til testen samtidig aksepterer forskning på barnet til evig tid.

Vi vil ha en debatt som handler om konsekvensene for de barna som er syke, men som ikke testes fordi foreldrene er skeptiske til evig lagring og manglende kontroll over fremtidig genetisk forskning på deres barn.

Vi vil ha en debatt som gjør det klart for hver eneste innbygger at det er et tydelig skille mellom nyfødtscreeningen behov for lagring av blod i 15 i stedet for 6 år og forskningssektorens ønske om lagring til evig tid.

Personvern er ikke utgående vare
Grunnloven pålegger Staten å sikre vern av norske borgeres personlige integritet.

I mai 2018 får vi et nytt personvernregelverk som skjerper kravene til samtykke, informasjon og ivaretakelse av innbyggernes rettigheter. Samtidig fjernes dagens system med forhåndskontroll/konsesjon/godkjenning fra Datatilsynet og erstattes med et system der den som vil benytte personopplysninger selv skal vurdere om de har lov. Denne vurderingen skal baseres på vurdering av risiko og personvernkonsekvenser.

Debatten bør derfor også handle om hvordan staten Norge skal sikre etterlevelse av plikten til å sikre at behandling av helseopplysninger skjer på en måte som sikrer innbyggernes rett til å vite hvordan opplysninger om dem behandles, hvilke formål de brukes til og hvem de utleveres til. Hvordan ivaretar myndighetene innbyggernes rett til selv å vurdere om og i hvilken grad de stoler på at opplysningene behandles på en måte som ikke kan få konsekvenser for deres rett til privatliv, rett til å ivareta sin egen integritet og rett til å verne seg selv og sine barn mot at noen som de ikke ønsker skal vite, får tilgang til de mest sensitive opplysningene som finnes om dem.

På ett eller annet tidspunkt vil det oppstå krav om å ta i bruk denne DNA-basen til andre formål. Det kan være for å identifisere ofre i en naturkatastrofe, finne en gjerningsmann, utelukke et farskap, verifisere slektskap og liknende. Strekker man tanken lenger vekk fra hva vi i dag anser som akseptabel eller forutsigbar bruk av dette materialet, kan vi også tenke oss en rekke uheldige konsekvenser av at det er så enkelt å få tilgang til dette materialet over hele befolkningen.

Lovforslaget slik det foreligger i dag er et eksempel på at viktige personvernprinsipper må vike for andre formål og at myndighetene tar seg til rette, i strid med helsesektorens strategi om pasientrettet helsetilbud, brukermedvirkning, åpenhet og dialog med pasienter og brukere.

Hva skjedde med regjeringens bekymring for folkets tillit fra 2011 til i dag?
I 2011 uttalte regjeringen følgende om lagringstid i Nyfødtscreeningen:

«Det er viktig at befolkningen har tiltro til masseundersøkelsen og at foreldre ikke unnlater å samtykke fordi de er usikre på hva som skjer med blodprøvene i fremtiden. Det biologiske materialet bør derfor ikke kunne lagres lenger enn 6 år. Deretter skal blodprøvene destrueres.»

Det finnes mange tall mellom 6 og uendelig. Tallet 15 er ett som er tilstrekkelig for å sikre forsvarlig helsehjelp til nyfødte. Gå for 15 i første omgang! Ikke land på uendelig for sikkerhets skyld, når negative konsekvenser av et slikt valg ikke er belyst i lovforslaget.

Hvis vi skal etablere en «obligatorisk», nasjonal forskningsbiobank med blodprøver fra alle nyfødte barn, må myndighetene vurdere konsekvensene av dette på en skikkelig måte og etablere et solid rettslig grunnlag. Det må vurderes egen regulering og egne sikkerhetskrav dersom hele nasjonens DNA samles på ett sted før man kan vurdere om samfunnsnytten overstiger inngrepet i innbyggernes personvern.

Alternativt kan det etableres en forskningsbiobank basert på informert, frivillig og uttrykkelig samtykke fra voksne borgere som ønsker å bidra til forskning og som synes det er i orden at deres DNA inngår i en slik biobank. Gjør det til en dugnad! Styrk tilliten til forskningen ved å vise åpenhet om bruk av data og biologisk materiale og få befolkningen med på å ta beslutninger om egne data og forskning.

Vi mener det ikke finnes grunnlag for å legge til grunn at tilliten til nyfødtscreeningen vil bli større dersom man åpner for at prøvene lagres til evig tid for forskningsformål. Usikkerheten blant folk vil øke og det vil i hovedsak gå utover oppslutningen om nyfødtscreeningen.

Noen vil hevde at de som ikke ønsker å dele helsedata med forskningen er egoistiske. Vi mener dette nettopp er et viktig poeng med personvern. Den enkelte skal selv få bestemme hvilke helseopplysninger han eller hun ønsker å dele med hvem, til hvilke formål. Det må derfor være mulig å få sitt barn screenet uten at denne undersøkelsen også innebærer en automatisk aksept av at barnet inngår i den nasjonale DNA-banken.

Datatilsynets høringsuttalelse til forslaget om varig lagring av blodprøvene i nyfødtscreeningen kan du lese her >>

Vi har over tid blitt vant til at de nettsidene vi besøker, slipper til internettaktører som sanker inn informasjon om vår nettaktivitet for å tjene penger på den. Internettet er under omfattende kontroll av disse internasjonale aktørene som har sluppet inn på nettsidene til avisene, butikkjedene, statlige etater og kommuner.

Disse aktørene ønsker også å vite hva vi holder på med der ute i lokalbutikken, på kjøpesenteret, på flyplassen eller andre steder. Et sentralt verktøy er å vite nøyaktig hvor du er til enhver tid. Lokalisering kan gjøres med mobilen via GPS, men ulempen med denne løsningen er at den virker best utendørs og ikke inne i butikker. Wifi benyttes for enda bedre å kunne lokalisere oss innendørs, men også dette er for unøyaktig. Nesten like unøyaktig er avlesing av din mobils Bluetooth-identitet. Problemet med disse løsningene ligger også i at avlesing av våre mobiler krever mye «dyrt» og aktivt utstyr, og at slik avlesing krever forhåndstillatelse fra den enkelte av oss.

Det er her man nå har funnet en ny løsning ved å plassere ut små sendere tett i tett hvor folk beveger seg. Disse senderne kalles beacons eller nettvarder. De er billige og fungerer med å sende ut sin egen identitet. De store mobil- og operativsystemleverandørene har lagt til rette for at våre mobiler leser av signaler fra slike beacons.

Du laster nå ned apper som leser av beacons som er plassert ut i butikken. Nøyaktig kunnskap om hvor du er og hvilke varer du ser på kan gi grunnlag for å gi deg kjøpsanbefalinger og nyttig informasjon. Andre ser for seg at man kan bli geleidet rundt på togstasjoner, flyplasser og kjøpesentre etter å ha lastet ned togstasjon-app, flyplass-app eller kjøpesenter-app. Dermed snakker vi om en meget tett utplassering av slike beacons, og tettere utplassering vil gi mer nøyaktig posisjon.

Slike isolerte løsninger, hvor togstasjon-appen bare leser av togstasjonens beacons og ingen andres, var slik man så for seg bruk av beacons i utgangspunktet. Dessverre ser vi nå at det ryddige utgangspunktet for bruk av beacons er i ferd med å forsvinne allerede før teknologien er tatt i bruk. Vi ser at beaconaktørene legger til rette for en bredere bruk enn bare for én butikk eller én togstasjon.

Det er allerede etablert beacons-registre for allmenn bruk, som gir informasjon om de enkelte beacons.

Vi ser at app-leverandører ikke begrenser seg til å lese av kun egne beacons, men også andres. Apper du allerede benytter på mobilen endres til å ta i bruk beacons.

Mobilleverandører og leverandører av mobilens operativsystem etablerer beaconavlesing og innrapportering av beacons med lokasjon som standard løsning.

Vi ser dermed allerede nå at vi er kommet i en situasjon, med beacons, som er den samme som vi opplevde med ordinært internett. Med dette vil det fremover være umulig å bevege seg med sin mobil utenfor hjemmet, uten at man selv rapporterer lokasjon og sine interesser til ulike aktører. Din aktivitet og dine interesser vil, uten at du aner det, bli underlagt budgivning og kjøpslåing mellom store aktører som vil by på hvilken mulighet du har for å bruke penger og foreta et kjøp av akkurat deres produkt.

Vi ser at beaconløsningen kan bli pushet frem av gode allmennyttige formål. Dessverre er det ikke ofte betalingsvilje for slike formål. Det er først når reklamen og de store betalingsvillige aktørene kommer inn og får tilgang til personopplysningene dine, at det blir fart på sakene. Vi har lenge hørt at uten reklame og «cookies» på internett ville internett være dyrt eller dødt. Vi vil nok høre dette om beacons også, at denne teknologien vil være nødvendig for å overleve i konkurransen med internetthandelen. Dette er en side av saken og er påstander som blir holdt frem av sterke interessenter innen reklameindustri og av store internettaktører. Det blir alltid litt puslete å vaie personvernflagget overfor disse aktørene.

Vil det da være mulig å innføre den nye teknologien med beacons uten personvernulemper? Det finnes allerede mulighet til å beskytte de enkelte beacons slik at de bare kan avleses og brukes av den aktøren som har plassert dem ut og isolert sett bare kan leses av denne aktørens mobilapp. Det er viktig at det tenkes innebygd personvern og at brukeren selv har kontroll. Dessverre koster slike sikre løsninger mer enn løsninger uten sikkerhet.

Betalingsmiddelet som er i spill er våre personopplysninger. Å gi fra seg personopplysninger er åpenbart ikke like synlig som å gi fra seg kontanter. Vi vil nok se at store reklameaktører får benytte offentlige steder som gater, torg og undergrunnsstasjoner til moderne markedsføring. Det offentlige rom har fra før ikke vært blottet for reklame. Det spesielle nå er dessverre at bruk av beacons vil bringe oss til et helt nytt og langt mer utfordrende nivå.

(Dette innlegget sto på trykk som kronikk i Dagens Næringsliv 13. mai 2015.)

Jeg har vært på utenlandsreise og sliter med jetlag. Jeg googler «søvnproblemer». De neste dagene forfølges jeg av annonser for legemidler på norske og internasjonale nettsider. Hvordan kan det ha seg at alle disse selskapene plutselig vet at jeg ikke får sove om natten?

Det pågår for tiden et datakappløp i medie- og markedsføringsbransjen. Bruk av ny teknologi og muligheten til å samle inn og analysere store datamengder er i ferd med å endre måten annonsører når sine kunder på. Bransjen er på vei bort fra tradisjonell massemarkedsføring og over til å henvende seg direkte til den enkelte. I dag får du persontilpasset reklame på nett, men om ikke lenge får du det også når du ser på tv.

Motoren i markedet for digital annonsering er fremveksten av annonsebørser, der kjøp og salg av annonseplasser foretas av dataprogrammer i løpet av hundredels sekunder. Den annonsøren som byr høyest på en bruker, får vise vedkommende reklame. Og den som byr høyest er gjerne den som har mest data om brukeren – og ser at brukeren har en verdifull profil. Hvis annonsebørsene er motoren, er personopplysninger drivstoffet.

Google og Facebook er blant vinnerne i dette markedet fordi de sitter på enormt mye data om oss. For ikke å tape annonsekampen mot disse globale kjempene bygger norske aktører opp egne plattformer for datastøttet annonsering.

Vi er vitne til en massive innsamling av personopplysninger. Utnyttelsen av disse til kommersielle formål setter personvernet under press.

Den største utfordringen er at markedet for digital annonsering er lite åpent og gjennomsiktig. De fleste av oss vet ikke at vi blir profilert. Selv om vi samtykker til noe av cookie-bruken, er det ikke mulig å ha oversikt over det samlede omfanget av opplysninger som samles inn om oss. På mange av nettsidene vi besøker er det ofte flere titalls ulike selskaper til stede som samler inn opplysninger om oss bak kulissene. Vi blir ikke opplyst om hvilken kunnskap som utledes om oss på bakgrunn av disse dataene, og hvilke profiler vi ender opp med å få.

Det er et paradoks at mens vi borgere aldri før har delt mer informasjon om oss selv, så er selskapene som utnytter disse opplysningene svært hemmelighetsfulle om sin aktivitet. Vi har fått en informasjonsasymmetri: Tusentalls selskaper vet svært mye om oss, mens vi ikke en gang vet hvem som vet og hva de vet. Dette er uheldige fordi det gjør oss sårbare for urettmessig diskriminering og manipulering. Når vi ikke vet hva som foregår er vi heller ikke i en posisjon til å ta informerte valg.

Hvis du føler at du mister kontroll over dine egne personopplysninger og ikke vet hvem som ser deg, kan det føre til at du begynner å legge bånd på deg selv. Du kan for eksempel unnlate å søke etter kreftmedisin eller skrive under på et opprop i frykt for at du legger igjen spor som kan blir brukt mot deg. Datatilsynet gjennomførte en spørreundersøkelse i 2013 som viste at 16 prosent har latt være å foreta enkelte søk på nett fordi de er usikre på hvordan disse opplysningene kan bli brukt senere.

I USA avdekkes det stadig eksempler på selskaper som sammenstiller og selger svært sensitive profiler til annonsører. For eksempel profiler som «tidlig stadium av Alzheimer» eller «spillavhengige over 50 år». I Europa har vi i dag en strengere personvernlovgivning som hindrer tilsvarende utnyttelse av personopplysninger.

Lagring av enorme datamengder om enkeltindivider utgjør også i seg selv en risiko. Konsekvensene ved datainnbrudd og datalekkasjer blir enda større når datamengdene er store og kan gi et rikt og avslørende bilde av enkeltpersoner.

Bransjen hevder at det kun er anonyme data som benyttes til profilering. Men jo mer detaljerte og nærgående profilene er, jo større er imidlertid faren for at det er mulig å reidentifisere enkeltindivider i datasettene.

Nytt personvernregelverk (i form av en forordning) er nå på trappene i EU. Skjerpet informasjonsplikt for virksomheter og styrket eiendomsrett over egne data er viktige elementer. Ett av forslagene går for eksempel ut på at det skal bli lettere for enkeltpersoner å motsette seg at dataene blir brukt til profilering. Loven vil også gi oss større rett til å kreve data slettet. Sanksjonene skjerpes betydelig, og særlig interessant blir det å se hva slags sanksjoner ulovlig reidentifisering av data blir møtt med. Vårt håp er at norske politiske myndigheter bruker all innflytelse de har til å unngå at forordningen svekkes i sluttforhandlingene som begynner etter sommeren.

]]> https://www.personvernbloggen.no/2015/05/22/du-er-til-salgs/feed/ 0 https://www.personvernbloggen.no/2015/04/16/facebook-fra-sosialt-nettverk-til-markedsforingstjeneste/ https://www.personvernbloggen.no/2015/04/16/facebook-fra-sosialt-nettverk-til-markedsforingstjeneste/#respond https://www.personvernbloggen.no/wp-content/uploads/2018/10/Kari-Laumann_avatar_1539256187-200x200.jpg Thu, 16 Apr 2015 09:20:18 +0000 https://www.personvernbloggen.no/?p=1563 En forskergruppe som har skrevet en rapport på vegne av det belgiske datatilsynet hevder at Facebook samler inn informasjon om nettbrukere uten Facebook-konto, brukere som er logget ut, samt brukere som aktivt har valgt å ikke bli sporet. Den belgiske rapporten konkluderer med at brukerne får for dårlig informasjon og mangler kontroll over egne personopplysninger. Facebook mener på sin side at forskerne i hovedsak tar feil.

Sporer avloggede brukere og ikke-brukere

Mange nettsider har installert Facebooks «social plug-ins» som er dele-, anbefal- eller liker-knapper knyttet opp mot Facebook. «Liker»-knappen er den mest brukte og er tilstede på mer enn 13 millioner sider. For eksempel har dagbladet.no, finn.no og nrk.no Facebook-plug-ins på sine nettsider. Forskerne bak rapporten oppdaget at hvis du har vært innom facebook.com, uavhengig om du er medlem eller ikke, har Facebook lagt igjen en eller flere informasjonskapsler på maskinen eller mobilen din. Facebook kan da samle inn informasjon om alle nettsider du besøker som har en social plug-in. Med andre ord:

• Facebook sporer hvilke nettsider brukerne besøker (selv om brukeren ikke benytter seg av plug-ins og selv om brukeren ikke er logget inn hos Facebook)
• Facebook sporer også ikke-brukere

På sine egne nettsider informerer Facebook om at de er i ferd med å rulle ut en ordning der nettaktiviteten din blir kartlagt for å skreddersy reklamen du ser. Kartleggingen skjer automatisk, og hvis du ikke ønsker å bli kartlagt må du selv skru av denne funksjonen. I personvernerklæringen oppgir Facebook at de vil kartlegge nettaktiviteten selv om du skrur av denne funksjonen, men de vil ikke bruke det til markedsføringsformål. Enda mer interessant er det at forskerne mener å ha funnet ut at hvis europeiske ikke-brukere går inn på Facebook for å registrere at de ikke ønsker å bli kartlagt av Facebook-plug-ins blir de sporet av en informasjonskapsel som ligger lagret hos brukeren i to år!

For dårlig informasjon og brukerstyring

Den belgiske rapporten er kritisk til at informasjon om hvordan personopplysningene til Facebookbrukere benyttes er vag og lite konkret. Brukerne har også for liten mulighet til å styre hvordan opplysningene deres blir brukt i markedsføring. Det er ikke mulig for brukeren å sette begrensninger med hensyn til hvilke opplysninger som man ikke vil skal bli brukt i markedsføring. Trykker du «liker» på noe kan du ble del av et sponset innlegg eller en reklame. Du kan «opte-out» av sistnevnte, mens eneste måten å ikke være del av sponsede innlegg er å la være å «like».

Et annet eksempel på dårlig tilrettelegging for brukerstyring er lokasjonsdata. Den eneste måten å skru av at Facebook-appen henter lokasjonsdata er å stenge denne funksjonen i operatørinnstillingene på telefonen. Her kunne isteden lokasjonsinnhenting vært skrudd av «by default» slik at brukeren selv kunne åpne for denne funksjonen hvis hun ønsker det. Rapporten mener at Facebook bør gi brukeren mer kontroll på hvordan opplysningene deres blir brukt, samt gi bedre informasjon – blant annet vise hvordan navn og bilde faktisk blir brukt til markedsføring.

Mangler samtykke; bryter loven

Personvernlovgivningen i Europa krever at Facebook må få samtykke fra brukeren, for eksempel ved bruk av personopplysninger i markedsføring. For at samtykket skal være gyldig skal det være informert, frivillig og uttrykkelig. Rapporten hevder at med den begrensede informasjonen og valgfriheten brukeren får feiler Facebook når det kommer til lovpålagt samtykke på flere punkter. Et eksempel er personverninnstillingene som krever at brukeren kan trykke «opt-out» for bruk av persondata til markedsføring. Det vil si at brukeren aktivt selv må ta grep selv for å ikke bli kartlagt for markedsføringsformål – dette teller ikke som gyldig samtykke.

Facebook vet mer om deg

Mengden informasjon Facebook samler om brukerne sine øker, både horisontalt og vertikalt. Facebook samler horisontal informasjon om brukere fra ulike kilder. Samtidig bygger de databasen også vertikalt ved at de har mange forskjellige typer detaljert informasjon om brukere. Det hele startet som en sosial greie på et gutterom på et universitet i USA, mens i dag er Facebook verdt over 200 milliarder dollar og en av de største på markedsføring på nett. Som Facebookbruker er det lett å få en bismak i munnen når jeg leser rapporter som dette. Ikke minst fordi det er vanskelig å forstå hvordan Facebook egentlig bruker opplysninger om meg, og hvilken informasjon de faktisk har om meg.

Bakgrunn: Det belgiske datatilsynet står bak rapporten som er skrevet av forskere ved Centre of Interdisciplinary Law and ICT (ICRI) og Computer Security and Industrial Cryptography department (Cosic) ved Universitetet i Leuven, og Media, information and telecommunication department (Smit) ved Vrije Universiteit Brussels. Siste versjon av rapporten ble publisert den 31. mars 2015. Vil du vite mer kan du også lese Guardian eller Digi.nos dekning av saken.

Desto flere wifi-avlesere som plasseres ut, desto nøyaktigere blir lokasjonen på sporingen av den enkelte.

Det er også tenkt brukt iBeacons, Apples nye teknologi for sporing. iBeacon-løsningen er små bokser som sender ut egne unike identifikatorer. Disse identifikatorene kan i dag mottas av Apple-telefoner og vil fortelle din nøyaktige posisjon videre. På Helsinki flyplass regner man med at man kan spore 60 til 70 prosent av de besøkende på denne måten, da de har mobiltelefoner med wifi på.

Leverandøren av tjenesten påpeker at de med deres løsning kan plassere den enkeltes mobiltelefon helt eksakt. Leverandøren ser for seg at de besøkende med denne løsningen i fremtiden også kan bli fortalt om de fremdeles har tid til å shoppe eller besøke en restaurant eller om de bør gå til gaten. Det vil også være mulig å pushe meldinger til de besøkendes telefoner.

Med tanke på om slike løsninger i fremtiden også vil komme til Norge, mener vi som vanlig at det er viktig for personvernet at slike løsninger er klart frivillige og at den enkelte med letthet kan melde seg inn og ut av denne typen tjenester etter ønske. Det er også viktig at man må foreta et aktivt valg for å delta på slike løsninger (OPT-INN) og ikke automatisk er med og selv må melde seg ut om man ikke vil være med (OPT-OUT).

Det er mange spørsmål som vil oppstå i forbindelse med slike løsninger. Hvordan behandles personopplysningene? Hvor lenge lagres de? Hvem vil få tilgang til hvordan du oppfører deg på flyplassen, hvor du går og hvilke restauranter, pubber, butikker og varer du stopper opp ved og viser spesiell interesse. Slik kunnskap er av stor interesse for mange virksomheter og markedsførere. Denne kunnskapen om deg kan også dessverre misbrukes av mange aktører. At du satt i noen timer på flyplassens pub og hva du gjorde etterpå er kanskje ikke så farlig informasjon for noen, men det kan være ulike meninger her. Det er også uklart hva all denne informasjonen faktisk kan misbrukes til.

Om iBeacons: iBeacons er spesialtilpasset Apples iOS7-enheter, men vil også kunne brukes på Googles Android-mobiler. Giverne av slike identiteter benytter lavenergi Bluetooth, som gjør det mulig at slikt utstyr virker i år på et lite batteri.

 

Oversikt over iBeacons (businessinsider.com) 

Om wifi- og bluetooth-identitet (MAC-adresse): Mobiler kommuniserer data, ikke bare mot mobilleverandøren ved mobildata, men også mot trådløse nett og bluetooth-enheter. Mange lar wifi og bluetooth stå på. Disse kommuniserer da en unik identitet når din mobil leter etter bluetooth-enheter og trådløse nettverk. Dette kalles MAC-adresser, og du kan lett finne akkurat dine unike adresser i oppsettet på din mobil. Mange aktører kobler disse MAC-adressene mot din identitet. Det holder ikke å benytte skjult bluetooth, det er allikevel lett å lese adressen om du lar bluetooth stå på. Når det gjelder wifi er det litt vanskeligere, siden de fleste mobiler har mulighet for å sende ut den identifiserende wifi-adressen selv om man skrur mobilens wifi av. For å forhindre utsending av mobilens wifi-identitet selv når wifi er skrudd av på mobilen, må man sjekke dette i mobilens avanserte wifi-oppsett.

Les mer om planene for Helsinki flyplass

Ville du akseptert dette? Neppe. Hvorfor skal du da akseptere det når det gjelder barna dine?

Foresatte vet per i dag altfor lite om hvilke opplysninger skolen samler inn om barna, hvordan opplysningene brukes og hvem de deles med. Dette vet vi i Datatilsynet fordi vi i høst har gjennomført flere tilsyn på skoler for å finne ut hvordan de bruker opplysninger om elever.

Vil registrere sensitive opplysninger om hver enkelt elev
Nå kan det dessuten bli enda vanskeligere både for elever og foresatte å ha kontroll med opplysningene. Kunnskapsdepartementet foreslår nemlig at sensitive og taushetsbelagte opplysninger om elever på 10. trinn i grunnskolen og i videregående skole, skal lagres i et sentralt register. Det betyr at Utdanningsdirektoratet får tilgang hver enkelt elevs fravær, karakterer, behov for spesialundervisning og andre taushetsbelagte opplysninger.

Departementet og direktoratet påstår at de trenger identifiserende informasjon for å forske på trender og utviklingstrekk, og for å administrere skolesektoren. Det er vi uenige i. Vi mener at de bør kunne klare seg med aggregert informasjon om elevene, det vil si opplysninger som ikke kan spores tilbake til hver enkelt elev.

Uakseptabelt med andre vilkår for barn enn for voksne
La det være helt klart; Datatilsynet er ikke mot forskning. Men vi mener at behovet for å forske på trender og utviklingstrekk kan løses på andre måter enn å opprette enda et nytt register. Sentrale utdanningsmyndigheter kan for eksempel bruke opplysninger som Statistisk sentralbyrå allerede har, eller de kan følge de samme spillereglene som andre forskningsmiljøer må følge – de må be om samtykke fra elevene det skal forskes på.

Det foregår mye forskning på utviklingstrekk i arbeidslivet, og det skjer uten at arbeidsgivere rapporterer inn arbeidstakernes prestasjoner og skavanker til et nasjonalt register. Datatilsynet mener at det er uakseptabelt at opplysningene om barn i skolen skal brukes på helt andre vilkår.

Elevene skal vite og kunne velge
Poenget er at alle, også skoleelever har rett til å vite hvem som har opplysninger om dem og hva personopplysningene brukes til. De må også kunne velge om de vil bidra til forskningen eller ikke.

Les også høringsuttalelsen vår om saken «Sentralt register med sensitive opplysninger om elever er unødvendig».