Personvernundersøkelsen 2024, utført av analyseselskapet Opinion på vegne av Datatilsynet, gir innsikt i dette spørsmålet. Et landsrepresentativt utvalg på 1519 personer over 15 år svarte på undersøkelsen i januar i år.

Hvilke virksomheter har vi tillit til?

Undersøkelsen tok blant annet for seg folks holdninger til hvordan virksomheter håndterer personopplysninger. Respondentene fikk følgende spørsmål om tillit:  

Svarene viser at det er klare forskjeller mellom hvem vi har tillit til. Grovt oppsummert kan det sies at flere offentlige virksomheter nyter høy tillit når de behandler våre opplysninger, mens private virksomheter har mindre. De vi har minst tillit til er tjenestene som er levert av de store tekno-gigantene, slik som Google og Meta. 75 prosent har liten eller ingen tillit til hvordan søkemotorer oppbevarer og bruker personopplysninger på, mens 83 prosent har liten eller ingen tillit til hvordan sosiale medier gjør det.

Den lave tilliten til denne type tjenester kan ses i sammenheng med negativ medieomtale over flere år når det kommer til misbruk av brukernes personopplysninger. Eksempler på dette er Cambridge Analytica-saken fra 2018, og senest i år kom det frem at flere sosiale medie-tjenester brukte eller planla å bruke innholdet til brukerne sine for å trene kunstig intelligens.

Apper for spill og underholdning skiller seg også negativt ut. Spillindustrien, som nå overgår filmindustrien i inntjening, krever ofte omfattende mengder personopplysninger av spilleren for å opprette brukerkonto. I tillegg kan mange opplysninger bli samlet inn mens du spiller. Dette reiser viktige spørsmål om hvordan de ivaretar personvernhensyn, særlig med tanke på yngre spillere. At folk har lav tillit til disse kan tolkes som om at de er kritiske og uttrykker en sunn skepsis til hvordan slike tjenester behandler personopplysninger.

Fører manglende tillit til at vi faktisk endrer oppførsel?

Men hvordan påvirker tillit vår oppførsel på nett? Det kan være vanskelig å koble en holdning til en handling. For å grave mer i dette, spurte vi folk om de har handlet på en bestemt måte i tilfeller hvor de er usikre på hvordan deres opplysninger blir brukt.

På spørsmålet om hvorvidt folk har tatt grep eller unnlatt å gjøre noe på grunn av denne usikkerheten, er svaret  tydelig «ja» for store deler av befolkningen. 64 prosent har unnlatt å ta i bruk en tjeneste eller et produkt som følge av at vi er usikre på hvordan personopplysningene blir brukt, og 74 prosent har latt være å laste ned en app.

At folk ikke laster ned visse apper kan være et tegn på sunn skepsis. Mange apper samler inn mer informasjon om oss enn det som er nødvendig. Mange aktører videreselger også informasjon om oss til annonsører, for at de skal sende deg målrettet reklame.

Undersøkelsen gir et tydelig signal til kommersielle aktører: Hvis de ikke oppfyller brukernes forventninger til personvern, risikerer de at brukere lar være å ta i bruk tjenestene deres eller at de begrenser aktiviteten sin i tjenesten.

Ytringsfriheten på kommersielle plattformer?

Undersøkelsen viser at mange lar være å delta i meningsutvekslinger på nett fordi de er usikre på hvordan opplysningene kan bli brukt. En betydelig andel, 47 prosent, har unngått diskusjoner i sosiale medier og nettaviser, og 35 prosent har gått så langt at de har slettet en konto i sosiale medier. Dette kan potensielt påvirke den offentlige debatten i en tid preget av polarisering og meningssiloer. Mye av den offentlige meningsutvekslingen foregår på plattformer som mange er skeptiske til å bruke.

Kanskje mest bekymringsverdig er at 14 prosent, en ikke ubetydelig andel av befolkningen, har unnlatt å søke etter hjelp om sensitive problemer i en søkemotor. For mange er et enkelt søk på Google det første steget mot å få hjelp, og når tilliten til disse plattformene svikter, kan det få alvorlige konsekvenser.

Oppsummert viser undersøkelsen at det er varierende tillit til de forskjellige aktørene på nett, og at mange unnlater å ta i bruk forskjellige tjenester på grunn av usikkerhet rundt hvordan deres personopplysninger håndteres. Dette viser at tillit er avgjørende for hvordan vi bruker digitale plattformer og tjenester.  

På lørdag skrev Øyvind Husby at Datatilsynet bommer om felles behandlingsansvar ved bruk av Facebook-side. Han sier dette er problematisk fordi vi som tilsyn forventer at vår vurdering skal være en mal for andre.

Vi har vært tydelige på at vi ikke opptrådte som tilsyn da vi vurderte vår bruk av Facebook. Vi har presisert at man ikke trenger å bruke samme metode som oss og at alle må gjøre sine egne vurderinger.

Misforstått

Når det gjelder jussen, ser Husby ut til å tro at det må foreligge en eksplisitt avtale om formål og midler for at felles behandlingsansvar skal inntre.

I Wirtschaftsakademie- og Fashion ID-dommene som Husby peker på, forelå det ingen enighet mellom partene. Partene brukte dessuten personopplysninger til litt ulike ting. Likevel konkluderte EU-domstolen med felles behandlingsansvar. Begge parter bidro nemlig til innsamling av data og å sette rammene for behandlingen, samtidig som de hadde en felles økonomisk interesse. Det er dette vi har lagt til grunn i våre vurderinger.

I førstnevnte dom finner vi uttalelser om omfanget av felles behandlingsansvar for Facebook-sider. Vi er enige med IKT-Norge i at man ikke har ansvar for alt som skjer på Facebook, men basert på dommens ordlyd kom vi frem til at omfanget av felles behandlingsansvar er videre enn hva Facebook legger opp til i sitt avtaleverk. IKT-Norge ser ut til å stole blindt på dette avtaleverket.

Huseby får det til å se ut som at vi står alene i vår forståelse, men vår tolkning er i tråd med retningslinjene til Personvernrådet, der alle 30 datatilsyn i EØS er medlemmer.

Vranglære

At andre er uenig i vår risikovurdering, er uproblematisk. Her prøver imidlertid IKT-Norge, et interesseorgan som representerer Facebook, å snu opp ned på det EU-domstolen har sagt om Facebook.

Det er skremmende, men ikke nytt.

Schrems II-dommen, som også gjaldt Facebook, sier litt forenklet at USA ikke har god nok beskyttelse av personopplysninger. Facebook har tolket seg bort fra dommen og sender derfor data fritt til USA likevel.

Vi vet at Facebook ofte gjemmer seg bak interesseorganer når de skal lobbe. Dette er vanlig taktikk i Brussel, og vi må være oppmerksomme på det samme her hjemme.

Udemokratisk

Husby avslutter innlegget sitt med å påpeke demokratisk deltakelse – og det er kjernen av problemet.

Facebook bestemmer hvem som får og ikke får se ulike budskap, basert på inngripende sporing som kan medføre nedkjølingseffekt. Nylige avsløringer viser at algoritmene premierer destruktivt og splittende innhold, og Facebook har blitt anklaget for å bidra til vold mot rohingyaene i Myanmar.

At Facebooks interesseorganisasjon skal definere demokratisk deltakelse, er mildt sagt problematisk.

Vårt mål er at Facebook skal respektere demokratiet og rettighetene våre. Det er trist at IKT-Norge har andre mål.

Dette innlegget ble først publisert i Dagens Næringsliv (02.02.22), og er skrevet av konstituert direktør Janne Stang Dahl og seksjonssjef Tobias Judin.

Datatilsynet har besluttet å ikke opprette en egen side på Facebook fordi usikkerheten til hvordan Facebook bruker disse dataene er for stor. I et innlegg den 13. oktober uttrykker Facebook overraskelse over at de ikke fikk bidra inn i vår vurdering og komme med utfyllende informasjon.

Her vil jeg forklare hvorfor vi både sa nei til Facebook, og til dialog under arbeidet vårt.

Facebook vet det meste om brukerne. De kjenner våre vaner, politiske oppfatning og hva vi spiser til middag. Med en Facebook-side ville vi bidratt til å fôre Facebook med informasjon om de som besøkte siden vår. Et «liker»-trykk på en artikkel der vi uttrykte skepsis til et nytt overvåkningstiltak, ville blitt en del av brukerens digitale tvilling på Facebook. Vi stilte oss dette spørsmålet: Kan vi forklare besøkende på vår side hva Facebook brukte opplysningene deres til? Svaret på spørsmålet er ganske enkelt nei. Vi ville heller ikke klart å oppfylle vilkårene i personvernforordningen om å ha kontroll på dataflyten.

Burde vi hatt dialog med Facebook som del av vår vurdering? For oss var det viktig å gjennomføre vurderingen som en hvilken som helst annen virksomhet. Vi tok samme utgangspunkt som en liten kommune, eller nettbutikken Garn & Tråd. Vi ønsket ikke særbehandling. Men Facebook er en lukket bok. De deltar sjelden i den offentlig debatten, inngår ikke særavtaler med enkeltvirksomheter, og opererer etter prinsippet «aksepter vilkårene, eller kom deg ut».

Facebook påpeker at de gir brukerne kontroll over eget innhold. Som alltid sier de at de ikke «selger personlig identifiserte data til tredjepartsaktører». Nei, Facebook vil helst ha dataene selv – men de tar betalt for at andre kan utnytte dem. Om min profil har navnet mitt øverst, er irrelevant. En analyse av min profil viser at Skeid er mitt favorittlag, og at jeg har en Maine Coon-katt. Det er mulig jeg tar feil, men jeg er trolig den eneste i verden som har disse to interessene. To opplysninger er altså nok til å identifisere hvem jeg er, selv uten navnet mitt som identifikator. I gjennomsnitt kan 68 registrerte «liker»-klikk fra en Facebook-bruker forutsi hudfargen deres med 95 % sikkerhet, og deres oppgitte seksuelle legning med 88 % sikkerhet.

Å fortsette å skjule seg bak frasen om at Facebook ikke selger data, er meningsløs.

Når det gjelder de andre tiltakene de ramser opp, er det snakk om hvordan brukerne kan kontrollere og få tilgang til egne data – men bare til en viss grad. Vurderingen vår er imidlertid mye videre. Vår konklusjon er at vi ikke vet hva Facebook bruker dataene til. Her er selskapet veldig vagt, og sier på sedvanlig vis at de etterlever regelverket, og at de har gjort alle sine avtaler tilgjengelig.

I vår vurdering har vi også lagt betydelig vekt på at vår tilstedeværelse på Facebook kan bidra til å legitimere lovligheten av Facebook. Omdømme har også vært sentralt. Facebook var dypt involvert i Cambridge Analytica-skandalen, og nylig sto en varsler fram og fortalte om svært kritikkverdige forhold i selskapet. Uten å ta stilling til riktigheten i sistnevnte påstander, er jeg glad for at Datatilsynet i dag ikke har en Facebook-side.

Facebook har nå vist en åpen linje ved å ty til noe så sjeldent som å skrive en kronikk. Jeg håper de fortsetter å vise samme åpenhet og svarer på disse spørsmålene:

– Hva bruker Facebook dataene som samles inn via en Facebook-side til? Hvordan profileres for eksempel ungdom som trykker «liker» på Helse Norges side der unge kan bestille kondomer?

– Helt konkret: Hvordan gir Facebook forståelig og meningsfull informasjon om hvordan disse opplysningene brukes?

– Hvordan vil Facebook bidra til at norske virksomheter kan oppfylle kravene i regelverket om å forstå og beskrive behandlingen?

– Hvordan er kravet om innebygd personvern ivaretatt av Facebook?

Vi møter gjerne Facebook til diskusjon. Vi vil stille dem spørsmålene over. Men mange vil ha betydelig interesse for svaret, som jeg håper de offentliggjør.

Den typen generelle råd til foresatte som barnepsykolog Mørch kommer med er i beste fall svært uheldig, og noe aktørene i Du Bestemmer-prosjektet tar sterkt avstand fra. Å følge med på ungdommenes åpne profiler er ikke problemet her, det er når de foresatte gjør som Brekke at det blir svært problematisk – å sjekke ungdommenes lukkede Facebook-profil i skjul. Slike fremgangsmåter vil fort føre til at ungdommene finner andre arenaer å kommunisere på, samtidig som tilliten til foreldrene blir ødelagt. Spesielle tilfeller vil selvsagt kunne forsvare et slikt inngrep, men det må i så fall være helt klart at det er unntaket og ikke hovedregelen.

Rett til privatliv
FNs barnekonvensjon sier at barn og unge har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse. Det betyr at barn og unges meninger om eget personvern er viktige. Hvis ungdommene for eksempel ikke ønsker at deres foresatte skal være “venn” med dem eller se deres kommunikasjon med andre på sosiale nettsteder, bør de foresatte respektere det.

Behovet for å ha et rom for seg selv som andre respekterer og ikke bryter seg inn i, varierer fra person til person. Noen synes det er greit å dele mye, mens andre er mer tilbakeholdne. Vi har likevel alle noe vi ikke ønsker å dele med alle andre. Det kan være følelser, tanker eller meninger om helse, seksualitet, religion eller politikk, eller rett og slett bare at man vil ha privatliv.

Det handler om frihet.

Hvor bør grensene gå?
Alle skal kunne føle seg trygge på at ingen får vite alt om dem, eller ser absolutt alt de foretar seg. Foresatte har selvsagt rett til å vite ganske mye om sine barn, men det er dermed ikke greit at de tar i bruk alle midler og sniker seg til å overvåke den lukkede Facebook-kommumikasjonen til ungene sine bare for å “følge med”. Slik snoking er som å lese dagboken til ungene, og vil oppleves som svært krenkende.

Dersom foreldrene vil følge med på hva ungene foretar seg eller hvem de kommuniserer med, må det som utgangspunkt baseres på åpenhet og dialog. Alle, også ungdommer, bør i så stor grad som mulig selv kunne bestemme hvilke opplysninger om seg selv de vil dele, og med hvem. Hvilket forbilde er foreldrene når de lurer seg til å lese hva ungdommene har skrevet til hverandre i private og lukkede Facebook-chatter etter at de har glemt å logge seg ut? Hvilket tillitsforhold er dette med på å skape? Ved å gå inn i ungdommenes Facebook-profil vil de voksne også kunne få innblikk i strengt private samtaler mellom nære venner, samtaler som ikke handler om noe ulovlig, men om ungdommenes innerste tanker og holdninger.

Det er klart at foresatte må følge med på hva ungdommene holder på med, det er jo deres ansvar, men det må ikke baseres på skjult overvåking.

Spionering på andres barn
Dette handler dessuten også om tredjepersoner. Ved å være inne på kontoen til egne barn (med eller uten deres samtykke) vil man som Brekke beskriver, få mye informasjon om andre ungdommer også. – Informasjon som ikke var ment for den voksne, samtaler som ikke ville være skrevet slik dersom ungdommene visste at voksne spionerte på dem. Slike bruddstykker av ungdommenes kommunikasjon kan også ofte fremstå som noe annet enn det er tenkt som, og en fjær kan fort bli til minst fem høns.

Brekke har ikke bare gått inn og snoket på sine egne barns Facebook-profil og deres lukkede kommunikasjon når de har glemt å logge seg av (uten egentlig å se ut til å mistenke at hans egne barn har gjort noe galt). Han skriver også at han har lagret masse av dette, og velger å skrive en kronikk om dette der barna sine venners utsvevende liv henges ut. Er det greit? Vi mener helt klart at målet ikke alltid helliger middelet, og at det her blir tråkket over opptil flere grenser. Det å mistenke utsvevende oppførsel blant ungdommene, og så svare med å gjøre noe så krenkende, er ikke god grobunn for kommunikasjon med egne (eller andres) barn.

Personvern er en grunnleggende beskyttelse av ditt privatliv
Visst er vi enige i at foreldre må engasjere seg i sine barns liv, og at de må vise interesse for hva som skjer på nett, som utenfor. Visst er vi enige i at foresatte må bry seg og snakke sammen, utveksle erfaringer og informasjon. Men, til syvende og sist handler det om å skape og vedlikeholde gode og trygge relasjoner, basert på tillit og gjensidig respekt. Utgangspunktet må være dialog og kommunikasjon, ikke overvåking og kontroll.

Kommentaren er skrevet i samarbeid med Karoline Tømte i Senter for IKT i utdanningen, prosjektleder for undervisningsopplegget Du Bestemmer. Du bestemmer er et samarbeidsprosjekt mellom Senter for IKT i utdanningen, Teknologirådet og Datatilsynet.

Fra møtet med Presseforbundet og Redaktørforeningen. Generalsekretær Arne Jensen i Redaktørforeningen

Som jeg skrev om i et tidligere blogginnlegg har vi et etablert et samarbeide med vår søsterorganisasjon i Republikken Makedonia (FYROM). Det er særlig personvern i sosiale nettsamfunn og skytjenester som har fått mest oppmerksomhet under besøket, men vi var også innom mange andre temaer – til gjensidig nytte for både dem og oss i det norske Datatilsynet.

I tillegg til Datatilsynet har følgende institusjoner bidratt:

• KRIPOS: Om netthets og rasistiske ytringer, overgrep og utnyttelse av barn på Internett, «rød knapp» og politiets tips-linje
• Redaktørforeningen og Norsk Presseforbund: Ytringsfrihet, offentlighetslovgivningen, presseetikk, redaktørplakat og PFU
• Norsk senter for informasjonssikring (NorSIS): Om slettmeg.no, arbeidet med informsajonssikkerhet, demonstrasjon om mobilhacking
• Universitetet i Oslo, avdeling for forvaltningsinformatikk: Om pågående og planlagte forskningsprosjekter ved Senter for rettsinformatikk – og deres masterprogram
• Direktoratet for forvaltning og IKT (DIFI): Om norsk forvaltning, arbeidet med informasjonssikkerhet, digital forvaltning, bruk av sosiale medier i offentlig sektor og cloud computing
• Forbrukerrådet: Om tåkete brukervilkår i skylagringstjenester.

Det siste møtet under norgesbesøket var med en representant for Utenriksdepartementets Vest-Balkan-seksjon. I dette møtet presenterte vi arbeidet så langt i samarbeidsprosjektet. Vi benyttet også anledningen til å lufte noen tanker om  mulig videre samarbeide også etter at det nåværende prosjektet avsluttes i høst.

DIFIs Sanja Kostovska Skaar gir et overblikk over norsk forvaltning

Etter til sammen fire døgn i Norge, hvorav tre hektiske møtedager, var tilbakemeldingene fra våre makedonske venner at de var svært fornøyd med oppholdet. Jeg tillater meg å tro dem på det. Den viktigste årsaken til det er at alle de ulike institusjonene var godt forberedte på besøket og gav alle meget gode presentasjoner. Dere fortjener derfor alle en hjertelig takk for innsatsen!

Hva gjør vi der?

Bakgrunnen for prosjektet er at det norske utenriksdepartementet har gitt direkte finansiell støtte til Republikken Makedonia (FYROM) til utvikling av landets personvernmyndighet.  DPDP ble etablert i 2005, og består i dag av 24 medarbeidere.

Fra det norske Datatilsynet sin side har vi forpliktet oss til å gi faglig støtte, rådgivning og «sparring» til DPDP særlig innen to temaer; personvern i sosiale nettsamfunn og cloud computing, herunder bruk av databehandleravtaler.

På vårt forrige besøk til Skopje, første uka i februar, deltok direktør Bjørn Erik Thon på et større lanseringsarrangement, som fikk god mediedekning, og som er nærmere omtalt DPDPs siste nyhetsbrev, (se side 4).  Ut over dette drøftet vi, og planla det videre arbeidet i prosjektet.

Du Bestemmer og Slettmeg.no

På  denne ukas møte var ikke Bjørn Erik med. Til gjengjeld var Hans Marius med fra NorsSIS for å presentere veiledningstjenesten Slettmeg.no.Våre makedonske søsterorganisasjon viste stor interesse for måten vi i Norge ikke bare arbeider for å forebygge nettkrenkelser, men hvordan vi gjennom Slettmeg.no også prioriterer å gi rask og handlekraftig hjelp når skaden først har skjedd. Det var også hyggelig for oss å se at makedonerne forlengst hadde tatt i bruk materiale fra vårt norske undervisningsopplegg Du Bestemmer.

I slutten  av juni kommer våre makedonske venner  på besøk til Norge. I tillegg til å besøke NorSIS og Datatilsynet, vil vi tilrettelegge besøk hos flere andre norske institusjoner, som er relevante med hensyn til blant annet sosiale medier, nettkrenkelser, datakriminalitet og skytjenester.

DPDP er svært aktive også på andre områder

DPDP virket å være en svært dreven organisasjon når det gjelder å ta intiativ til, og samle ulike aktører til å utveksle erfaringer og kunnskap seg i mellom, både internt i Makedonia, på Balkan og overfor Europa forøvrig. Første uken i mai står de for eksempel som vertskap for den såkalte «Berlingruppen». (her skal forøvrig representanter fra oss i Datatilsynet presentere et utkast til en såkalt «opinion» om skytjenester). I september arrangerer DPDP også det internasjonale saksbehandlermøtet for personvernmyndighetene.

Vi ser ikke bort fra at vi vil samarbeide med makedonerne også etter at det nåværende samarbeidsprosjektet er avsluttet. Vi kan for vår del både lære og få inspirasjon av deres helt andre måter å løse forskjellige oppgaver på, for eksempel tilsynsmetodikken.

Men det er en annen gang og en annen skål….

Vinteren 2013 besøkte jeg blant annet Facebook på deres hovedkontor i Palo Alto utenfor San Francisco.  I en kantine som holdt samme kvalitet so en god norsk restaurant ruslet mange ansette rundt i pysjamas-bukse. Dagen før hadde nemlig selskapet feiret sin 9-års gebursdag. Mye kan sies om et besøk hos Facebook, men noe av det mest tankevekkende var nettopp det faktum at Facebook var kun ni år gammelt. Og i løpet av disse ni årene har selskapet, og mange andre selskaper som holdt til i samme nabolag, totalt endret måten vi kommuniserer på. Fra en verden der fax var hightec til en verden der vi deler alt. Hadde Facebook slik det i dag ser ut blitt lansert ”over natta” for ni år siden ville det blitt forbudt av både personvern- og forbrukermyndigheter sporenstreks! Men Facebook har jobbet smart – de har utvidet sine tjenester gradvis – og er i dag helt annerledes enn ved lanseringen.

Delingskulturen overgår vår fatteevne. I løpet av ett minutt laster vi opp 30 timer video på Youtube, det er 300 000 innlogginger på Facebook og mer enn 2 millioner søk på Google. Og det slutter ikke i der. 90% av verdens data er nemlig produsert de sist to årene, og i løpet av et drøyt år et det antatt at det vil være 12 milliarder enheter med internettilkobling. Muligheten for å analysere data er blitt dramatisk endret de siste årene. Vi snakker ofte om big data, eller stordata – analyse.

Gir det overhode mening å snakke om personvern med så stor datamengder og med så avanserte analysemuligheter?Så absolutt, men det krever mye både av de sosiale nettsamfunnene og ikke minst av den enkelte borger.

De sosiale nettsamfunnene har et stort ansvar for å legge til rette for at du skal kunne gå inn å bestemme hva du ønsker å dele med andre. Det må også klart og tydelig gi opplysninger om hva de bruker opplysningene til – og hva de vil bruke dem til i framtida. Flere nettsamfunn har blitt flinkere til å legge til rette for at man selv kan kontrollere hva man deler med andre, men det skorter fortsatt på viljen til å gi opplysninger om hva de sosiale nettsamfunnene selv bruker opplysningene til. Nylig ble Google ilagt en bot av det franske datatilsynet for ”ikke i tilstrekkelig grad [å ha] informert sine brukere om behandlingen av deres personopplysninger, og heller ikke informert tilstrekkelig om formålene med denne behandlingen”. Flere saker er under oppseiling, bl.a. i Nederland og Spania. Også Facebook har vært i personvernmyndighetenes søkelys. Også her i Norge, og har måttet gjøre store endringer.

Men den enkelte har også et ansvar for å ivareta sitt eget personvern, og det ansvaret vil trolig bli større i årene som kommer. En undersøkelse Datatilsynet og Teknologirådet gjennomførte i 2012/13 viste at 44% av norske Facebook-brukere har vært inne og endret personverninnstillingene sime. Det er et oppløftende tall. Samtidig viser samme undersøkelse at det er stor forskjell mellom aldersgruppene. Blant eldre Facebook-brukere har 60% aldri endret personverninnstillingene, så her ligger et klart potensiale for forbedring.

Det er laget mange lister med tips over hvordan den enkelte skal ivareta personvernet sitt på Facebook. Jeg vil nøye med meg seks gode råd:

– Gå gjennom personverninnstillingene jevnlig. Det er særlig viktig å være obs på hvem man vil dele opplysninger med

– Tenk før du skriver. Alt kan spres videre selv om du ikke velger det selv, og det kan være svært vanskelig å få slettet ting som er kommet på avveie

– Bruk ulike passord på ulike kontoer. Særlig viktig er det å ikke bruke samme passord som i nettbanken noe annet sted

– Tenk før du klikker på en lenke. Ofte følger spam og annen skadelig programvare med på vedlegg. Det er viktig å være sunt skeptisk til alle lenker – ser det useriøst så styr unna og slett umiddelbart.

– Hold anti-virusprogrammet oppdatert. Dette er svært viktig, men ingen sovepute for ikke å bruke hodet. Antivirus-programmene gir ikke 100% trygghet

– Søk hjelp dersom du opplever å bli krenket på nettet. www.slettmeg.no er et godt sted å begynne.

Data kan lagres, deles, omsettes og gjenbrukes på en måte vi ikke har sett tidligere. I 2015 antas det å være 12 milliarder enheter med internettoppkobling. 90 % av alle data er produsert de siste to årene. Over en milliard mennesker er på Facebook. Det foregår en velferdsteknologisk revolusjon, nye helseregistre etableres, journalsystemer fornyes og terrorlovgivningen strammes inn. Digitaliseringen gjør det mulig å dele data i stadig større utstrekning på tvers av offentlige etater. Hvilke personvernmessige utfordringer møter de som skal styre landet de neste årene?

Personvern anno 2013 krever en miks av virkemidler; lovgivning, riktig bruk av teknologi, informasjon og samfunnsansvar. Regjeringen la sist vinter fram stortingsmeldingen Personvern – utsikter og utfordringer. Her ble det fastsatt et prinsipielt mål om innebygd personvern i alle sektorer. Dette betyr at personvernet skal bygges inn i de teknologiske løsningene fra starten og det vil bli stilt krav om at personvernvennlige løsninger skal være forhåndsdefinerte som standardinnstilling.

Dersom viktige prosesser som for eksempel nytt folkeregister, ny nasjonal kjernejournal, ny helseregisterlov og statens digitaliseringsprogram bygges på  prinsippene for innebygd personvern, vil det være av stor betydning for borgernes personvern.

Det satses stort på omsorgsteknologiske løsninger i helsesektoren. Bruk av GPS på demente og tilsvarende løsninger vil øke kraftig de neste årene. I stortingsmeldingen Morgendagens omsorg understrekes viktigheten av personvern og sikkerhet ved innføring av velferdsteknologiske løsninger. Vi har en unik mulighet til å ivareta personvernet til landets borgere like fra starten av. Dette handler først og fremst om politisk vilje.

Helsesektoren lagrer sensitive opplysninger om samtlige norske borgere fra vi fødes til vi dør. I Stortingsmelding 9, En innbygger – en journal, trekker regjeringen opp visjonen om at helsepersonell hvor som helst i landet kan få tilgang til helseopplysningene til enhver pasient. Et slikt system kan løse noen av de utfordringene sektoren står overfor, men det kan også bli en svært dårlig løsning for borgernes personvern. Alt avhenger av hvordan systemet designes. Noen viktige forutsetninger er svært høy sikkerhet, god tilgangsstyring, logging av oppslag i journal, logganalyse og innsyn i hvem som har gjort oppslag. Selvsagt må prinsippene for innebygd personvern følges.

Ved bruk av big data-teknologi er det mulig å utvikle en terrorist-algoritme, der søkehistorie, kjøp over nett, venner, interesser, bosted, religion osv inngår. Før sommeren vedtok Stortinget regler som ytterligere kriminaliserer det å forberede terrorhandlinger. De nye lovhjemlene var blant annet begrunnet i et ønske om å gi politiet adgang til å benytte inngripende tvangsmidler i forebyggende øyemed. Det er svært viktig at lovgiver er seg bevisst hvilken betydning ny teknologi får for praktisering av regelverket og farene dette innebærer for den enkeltes personvern og rettssikkerhet. Vi har dessverre flere eksempler på at det ikke alltid har vært tilfelle.

Personvernspørsmål har gradvis beveget seg inn i den utenrikspolitiske sfære. Norske borgeres Facebook-kontoer og Google-søk kan ha blitt overvåket av amerikanske sikkerhetsmyndigheter.

Staten har en viktig oppgave i å beskytte borgernes frihet og retten til privatliv. Det er derfor også en viktig oppgave for norske myndigheter å sørge for at ulovlig overvåkning av norske borgere opphører, uavhengig av hvem som står bak overvåkningen. Det er dessuten all grunn til å tro at det finnes andre hemmelige overvåkningsprogrammer enn de som nå har blitt avslørt.

I EU jobbes det med en ny personvernforordning, der det foreslås å opprette et nytt organ med helt sentrale oppgaver, blant annet til å fortolke personvernregelverket. Som ikke-medlem er det avgjørende at Norge får en plass i dette organet. Regjeringen, uansett farge, må derfor jobbe hardt for at Datatilsynet blir representert her.

I tillegg er det utfordringer med registrering av bompasseringer, etablering av gjeldsregister, ny helseregisterlov og offentlige organers kontrollhjemler, for å nevne noe.

Jeg tror Snowden-saken har åpnet manges øyne for viktigheten av personvern. Det handler om å beskytte borgerens rett til privatliv, til å ha et rom ingen skal trenge inn i og til i størst mulig utstrekning selv bestemme hva man vil dele med andre. I dagens høyteknologiske, digitale samfunn er disse verdiene viktigere enn noen gang.

Bladet Vårt Land bringer i dag nyheten om at at flere ansatte i ambulanse og redningstjenesten tar bilder av pasienter, mens de er ute på akuttoppdrag. Bildene taes med helsepersonellets private mobiltelefoner, og uten samtykke fra pasientene. I enkelte tilfeller blir bildene publisert på sosiale medier. Statens Helsetilsyn har derfor igjen sett seg nødt til å minne om den taushetsplikten som helsepersonell har. 

Fra myndighetenes side har vi opp gjennom årene brukt ganske så betydelig med ressurser på å lære barn og unge om personvern og ansvarsforhold på Internett og i sosiale medier. Fra Datatilsynets side har vi særlig konsentrert oss om arbeidet med www.dubestemmer.no, der vi samarbeider med Teknologirådet og Senter for IKT i utdanningen. På mange måter tror jeg faktisk at barn og unge har tilegnet seg en bedre forståelse for mulige konsekvenser av publisering på sosiale medier, enn hva middelaldrende voksne har. Vi får håpe at dette i noen grad skyldes at det bevissthetsskapende arbeidet, fra mange gode krefter, har gitt resultater. 

Helsedirektoratets veileder om bruk av sosiale medier for helsepersonell mv

Vi valgte i sin tid navnet på undervisningsopplegget «Du bestemmer» fordi vi mente at den enkelte kan ta ansvar først etter at man har fått kunnskap. Når den enkelte har fått  kunnskap (eller ihvertfall muligheten til det) er det vanskeligere å unngå å ta ansvar for sine handlinger. Samme logikk bør også gjelde for arbeidstakere.

Fra Datatilsynet sin side vil vi derfor igjen oppfordre arbeidsgivere til å gi sine medarbeidere et godt  grunnlag for å være ansvarlige i sin bruk av sosiale medier, knyttet til sin rolle som arbeidstaker og yrkesutøver. Gjennom gjentatt bevissthetsskaping og kunnskapsbygging kan medarbeidere kanskje unngå å tråkke fatalt feil, nærmest i ren «bevisstløsthet».

Det finnes allerede en del brukbart veiledningsmateriale – her er noe å ta utgangspunkt i:  

• Helsedirektoratet: «Veileder i bruk av sosiale medier i helse-, omsorgs- og sosialsektoren». Utgitt juni 2012.
• Nasjonal sikkerhetsmyndighet (NSM): «Sosiale medier og sikkerhet»
• Nasjonal sikkerhetsmyndighet (NSM): «Nettsamfunn og sikkerhet«.
• Direktoratet for forvaltning og IKT (Difi), samleside om bruk av sosiale medier i forvaltningen: http://www.difi.no/sosiale-medier

Så må jeg til slutt få nevne den lille veiledningen vi i Datatilsynet utarbeidet allerede våren 2007 – den gang Facebook var i sin lille spede begynnelse her i Norge. I vårt råd nummer fem heter det: 

«Du er selv ansvarlig for all informasjon du legger ut på profilen din. Legg ikke ut bilder eller personopplysninger om andre uten først å ha spurt dem om lov.»

I hovedsak er det i prinsippet så enkelt!

1 Hacker Way, Menlo Park

Fredag morgen ankom vi Facebooks Campus i California. Det var et enormt område med adressen 1 Hacker Way, Menlo Park. Området er overtatt etter Sun microsystems hovedkvarter i 2011, da Facebook flyttet fra Palo Alto. Enkelte spor etter Sun microsystems var tilstede enda, for eksempel så vi Suns logoer på noen glassdører. For å sikre muligheter for utvidelse i fremtiden har Facebook kjøpt opp et enormt område på den andre siden av veien. En underjordisk tunnel kobler allerede områdene sammen. Med over 1 milliard brukere har virksomheten åpenbart potensialet inne.

Lederen av Facebooks public policy nordic hadde sørget for at vi kom i kontakt med de rette personer. Vi fikk treffe Facebooks head of data protection og Facebooks ansvarlige for strategisk kommunikasjon og samfunnskontakt.Vi hadde en avtale med Facebooks data science director som blant annet var omtalt i artikkelen «What Facebook Knows» i MIT Technology Review i 2012. Hans team kan i utgangspunktet analysere all den informasjon som Facebook samler. Og det er ikke akkurat puslete greier:

• Hvert 30 minutt blir 10 TB med data lastet inn i Hadoop for analyse. Hadoop håndterer analyse av store datamengder (Big data).
• Hvert 30 minutt blir 105 TB data håndtert i Hive. Hive forenkler spørring og håndterer store datasett plassert i distribuert lagring.
• Hvert 30 minutt foretas over 160 milioner newsfeed.
• Facebookbrukere som deler med venner av venner kan nå 17 000 mennesker.

Vi ble orientert om flere interessante felt. For eksempel, hvor mange av dine venner ser faktisk det du poster på Facebook? Som regel tror folk at færre ser deres postinger enn det som virkelig skjer.

Velger-eksperimentet. Hvordan kan man påvirke andre til å stemme ved et valg? Ved at man kunne fortelle venner at man hadde stemt og at man samtidig finne ut hvor man kunne stemme. Dette økte muligens valgdeltakelsen i fjorårets amerikanske valg med 60 000.

Hvordan kan man legge til rette for at man blir presentert for nye aktuelle venner? Selvfølgelig er det viktig hvilke venner dine venner har, men det er også viktig å ta hensyn til tidsaspektet. Aktualitet er viktig her.

Vi fikk også en gjennomgang av nye personvernkontroller og tjenester av Facebooks head of dataprotection.  Graph search som er i betaversjon blir pusset på nå. Det er viktig at man tar hensyn til brukerne ved innføring av nye tjenester. Brukernes forventninger er viktig. Å overraske negativt må unngås. Vi gjennomgikk de personverntilpasninger som var gjennomført det siste året, blant annet «Audience selector, activity log og view as. De nye innsynsløsningene gjør det mulig å få ytterligere direkte innsyn i de opplysningene Facebook har registret om deg.

Det er vanskelig å få med all den informasjonen vi fikk under besøket hos Facebook i denne korte bloggen nå, men vi vil gi mer informasjon når vi kommer tilbake til Norge.

Eksempel på kreativitet inne på området.

Vi fikk også tid til en liten rundtur på Facebooks Campus. Det var noen løsninger og designelementer som var veldig tydelige der. Rundt en slags fabrikkgate lå alle bygningene. Arbeidsplassene lå i hovedsak i store rom og saler. Gulv, vegger og tak besto av nesten ubearbeidede flater. Ansatte kunne bidra med kunstverk der de syntes det passet. Lokalene innbød til kreativitet.Det var helt klart at ingen skulle sulte. Det var et enormt utvalg av alle slags matretter og drikke, til og med utendørs grillkjøkken og iskiosk. Og alt gratis (innkludert). Det ble også lagt opp til en del aktiviteter, og dermed kunne man leve ganske mye av tiden sin inne på området. Spor av aktiviteten og kreativiteten var tydlig allerede nå, selv etter bare litt over et års tilstedeværelse i Menlo Park.

Dermed er det hjemreise fra USA. Nå venter en 11 timers flytur til Frankfurt.