Høres dette futuristisk ut? Teknologien som gjør disse tingene mulig, finnes allerede. Den er også i bruk i Norge. At vi blir sporet på Internett, visste nok mange allerede, men visste du at dine bevegelser i den fysiske verden også kan følges i detalj?

Ny rapport

Datatilsynet har skrevet en rapport om sporing i det offentlige rom. I rapporten forklarer vi hva disse sporingsteknologiene går ut på, hvordan de brukes, hvilke konsekvenser bruken har for personvernet og hvilke regler som gjelder. Vi kommer også med noen tips om hvordan man kan unngå å bli sporet der det er mulig.

Rapporten er også tilgjengelig på engelsk og vil gjøres kjent internasjonalt utover høsten.

Rapporten fokuserer på tre teknologier: WiFi- og Bluetoothsporing, nettvarder og intelligent videoanalyse. Både WiFi- og Bluetoothsporing og nettvarder (også kalt beacons) gjør det mulig å spore mobiltelefonene våre. Siden de fleste av oss alltid har med oss mobilen, kan våre bevegelser spores over tid og sted. Overvåkingskameraer med videoanalyse kan automatisk trekke slutninger om våre bevegelser og karakteristikker uten at noen trenger å se på opptakene.

I strid med retten til personvern?

Sporing av personer er regulert i personopplysningsloven. Selv om en del bruk av sporingsteknologi holder seg innenfor lovens grenser, foregår det samtidig sporing som er i strid med vår rett til personvern og privatliv. Teknologiene kan spore oss systematisk over lang tid, noen ganger uten at vi vet det. Dette utgjør et stort inngrep i vår rett til personvern. Det er en grunnleggende rettighet å ha informasjon om hva virksomhetene registrerer oss.

Det er viktig å være klar over at alle har en viss rett til sporfri ferdsel og privatliv, selv på offentlige steder.

Man skal alltid få informasjon når man spores, og hovedregelen er at sporing krever samtykke.

Retningslinjer for bruken

Rapporten vår inneholder retningslinjer for virksomheter som driver med sporingsteknologi. Retningslinjene forteller hvordan virksomhetene kan innrette sporingen for å holde seg innenfor lovens regler. Datatilsynet kommer til å føre tilsyn med denne typen virksomheter i løpet av høsten for å sørge for at reglene følges, og ikke minst for å prøve å sikre at vi alle har en viss oversikt over hvem som vet hva om oss.

Vi har over tid blitt vant til at de nettsidene vi besøker, slipper til internettaktører som sanker inn informasjon om vår nettaktivitet for å tjene penger på den. Internettet er under omfattende kontroll av disse internasjonale aktørene som har sluppet inn på nettsidene til avisene, butikkjedene, statlige etater og kommuner.

Disse aktørene ønsker også å vite hva vi holder på med der ute i lokalbutikken, på kjøpesenteret, på flyplassen eller andre steder. Et sentralt verktøy er å vite nøyaktig hvor du er til enhver tid. Lokalisering kan gjøres med mobilen via GPS, men ulempen med denne løsningen er at den virker best utendørs og ikke inne i butikker. Wifi benyttes for enda bedre å kunne lokalisere oss innendørs, men også dette er for unøyaktig. Nesten like unøyaktig er avlesing av din mobils Bluetooth-identitet. Problemet med disse løsningene ligger også i at avlesing av våre mobiler krever mye «dyrt» og aktivt utstyr, og at slik avlesing krever forhåndstillatelse fra den enkelte av oss.

Det er her man nå har funnet en ny løsning ved å plassere ut små sendere tett i tett hvor folk beveger seg. Disse senderne kalles beacons eller nettvarder. De er billige og fungerer med å sende ut sin egen identitet. De store mobil- og operativsystemleverandørene har lagt til rette for at våre mobiler leser av signaler fra slike beacons.

Du laster nå ned apper som leser av beacons som er plassert ut i butikken. Nøyaktig kunnskap om hvor du er og hvilke varer du ser på kan gi grunnlag for å gi deg kjøpsanbefalinger og nyttig informasjon. Andre ser for seg at man kan bli geleidet rundt på togstasjoner, flyplasser og kjøpesentre etter å ha lastet ned togstasjon-app, flyplass-app eller kjøpesenter-app. Dermed snakker vi om en meget tett utplassering av slike beacons, og tettere utplassering vil gi mer nøyaktig posisjon.

Slike isolerte løsninger, hvor togstasjon-appen bare leser av togstasjonens beacons og ingen andres, var slik man så for seg bruk av beacons i utgangspunktet. Dessverre ser vi nå at det ryddige utgangspunktet for bruk av beacons er i ferd med å forsvinne allerede før teknologien er tatt i bruk. Vi ser at beaconaktørene legger til rette for en bredere bruk enn bare for én butikk eller én togstasjon.

Det er allerede etablert beacons-registre for allmenn bruk, som gir informasjon om de enkelte beacons.

Vi ser at app-leverandører ikke begrenser seg til å lese av kun egne beacons, men også andres. Apper du allerede benytter på mobilen endres til å ta i bruk beacons.

Mobilleverandører og leverandører av mobilens operativsystem etablerer beaconavlesing og innrapportering av beacons med lokasjon som standard løsning.

Vi ser dermed allerede nå at vi er kommet i en situasjon, med beacons, som er den samme som vi opplevde med ordinært internett. Med dette vil det fremover være umulig å bevege seg med sin mobil utenfor hjemmet, uten at man selv rapporterer lokasjon og sine interesser til ulike aktører. Din aktivitet og dine interesser vil, uten at du aner det, bli underlagt budgivning og kjøpslåing mellom store aktører som vil by på hvilken mulighet du har for å bruke penger og foreta et kjøp av akkurat deres produkt.

Vi ser at beaconløsningen kan bli pushet frem av gode allmennyttige formål. Dessverre er det ikke ofte betalingsvilje for slike formål. Det er først når reklamen og de store betalingsvillige aktørene kommer inn og får tilgang til personopplysningene dine, at det blir fart på sakene. Vi har lenge hørt at uten reklame og «cookies» på internett ville internett være dyrt eller dødt. Vi vil nok høre dette om beacons også, at denne teknologien vil være nødvendig for å overleve i konkurransen med internetthandelen. Dette er en side av saken og er påstander som blir holdt frem av sterke interessenter innen reklameindustri og av store internettaktører. Det blir alltid litt puslete å vaie personvernflagget overfor disse aktørene.

Vil det da være mulig å innføre den nye teknologien med beacons uten personvernulemper? Det finnes allerede mulighet til å beskytte de enkelte beacons slik at de bare kan avleses og brukes av den aktøren som har plassert dem ut og isolert sett bare kan leses av denne aktørens mobilapp. Det er viktig at det tenkes innebygd personvern og at brukeren selv har kontroll. Dessverre koster slike sikre løsninger mer enn løsninger uten sikkerhet.

Betalingsmiddelet som er i spill er våre personopplysninger. Å gi fra seg personopplysninger er åpenbart ikke like synlig som å gi fra seg kontanter. Vi vil nok se at store reklameaktører får benytte offentlige steder som gater, torg og undergrunnsstasjoner til moderne markedsføring. Det offentlige rom har fra før ikke vært blottet for reklame. Det spesielle nå er dessverre at bruk av beacons vil bringe oss til et helt nytt og langt mer utfordrende nivå.

(Dette innlegget sto på trykk som kronikk i Dagens Næringsliv 13. mai 2015.)

Jeg har vært på utenlandsreise og sliter med jetlag. Jeg googler «søvnproblemer». De neste dagene forfølges jeg av annonser for legemidler på norske og internasjonale nettsider. Hvordan kan det ha seg at alle disse selskapene plutselig vet at jeg ikke får sove om natten?

Det pågår for tiden et datakappløp i medie- og markedsføringsbransjen. Bruk av ny teknologi og muligheten til å samle inn og analysere store datamengder er i ferd med å endre måten annonsører når sine kunder på. Bransjen er på vei bort fra tradisjonell massemarkedsføring og over til å henvende seg direkte til den enkelte. I dag får du persontilpasset reklame på nett, men om ikke lenge får du det også når du ser på tv.

Motoren i markedet for digital annonsering er fremveksten av annonsebørser, der kjøp og salg av annonseplasser foretas av dataprogrammer i løpet av hundredels sekunder. Den annonsøren som byr høyest på en bruker, får vise vedkommende reklame. Og den som byr høyest er gjerne den som har mest data om brukeren – og ser at brukeren har en verdifull profil. Hvis annonsebørsene er motoren, er personopplysninger drivstoffet.

Google og Facebook er blant vinnerne i dette markedet fordi de sitter på enormt mye data om oss. For ikke å tape annonsekampen mot disse globale kjempene bygger norske aktører opp egne plattformer for datastøttet annonsering.

Vi er vitne til en massive innsamling av personopplysninger. Utnyttelsen av disse til kommersielle formål setter personvernet under press.

Den største utfordringen er at markedet for digital annonsering er lite åpent og gjennomsiktig. De fleste av oss vet ikke at vi blir profilert. Selv om vi samtykker til noe av cookie-bruken, er det ikke mulig å ha oversikt over det samlede omfanget av opplysninger som samles inn om oss. På mange av nettsidene vi besøker er det ofte flere titalls ulike selskaper til stede som samler inn opplysninger om oss bak kulissene. Vi blir ikke opplyst om hvilken kunnskap som utledes om oss på bakgrunn av disse dataene, og hvilke profiler vi ender opp med å få.

Det er et paradoks at mens vi borgere aldri før har delt mer informasjon om oss selv, så er selskapene som utnytter disse opplysningene svært hemmelighetsfulle om sin aktivitet. Vi har fått en informasjonsasymmetri: Tusentalls selskaper vet svært mye om oss, mens vi ikke en gang vet hvem som vet og hva de vet. Dette er uheldige fordi det gjør oss sårbare for urettmessig diskriminering og manipulering. Når vi ikke vet hva som foregår er vi heller ikke i en posisjon til å ta informerte valg.

Hvis du føler at du mister kontroll over dine egne personopplysninger og ikke vet hvem som ser deg, kan det føre til at du begynner å legge bånd på deg selv. Du kan for eksempel unnlate å søke etter kreftmedisin eller skrive under på et opprop i frykt for at du legger igjen spor som kan blir brukt mot deg. Datatilsynet gjennomførte en spørreundersøkelse i 2013 som viste at 16 prosent har latt være å foreta enkelte søk på nett fordi de er usikre på hvordan disse opplysningene kan bli brukt senere.

I USA avdekkes det stadig eksempler på selskaper som sammenstiller og selger svært sensitive profiler til annonsører. For eksempel profiler som «tidlig stadium av Alzheimer» eller «spillavhengige over 50 år». I Europa har vi i dag en strengere personvernlovgivning som hindrer tilsvarende utnyttelse av personopplysninger.

Lagring av enorme datamengder om enkeltindivider utgjør også i seg selv en risiko. Konsekvensene ved datainnbrudd og datalekkasjer blir enda større når datamengdene er store og kan gi et rikt og avslørende bilde av enkeltpersoner.

Bransjen hevder at det kun er anonyme data som benyttes til profilering. Men jo mer detaljerte og nærgående profilene er, jo større er imidlertid faren for at det er mulig å reidentifisere enkeltindivider i datasettene.

Nytt personvernregelverk (i form av en forordning) er nå på trappene i EU. Skjerpet informasjonsplikt for virksomheter og styrket eiendomsrett over egne data er viktige elementer. Ett av forslagene går for eksempel ut på at det skal bli lettere for enkeltpersoner å motsette seg at dataene blir brukt til profilering. Loven vil også gi oss større rett til å kreve data slettet. Sanksjonene skjerpes betydelig, og særlig interessant blir det å se hva slags sanksjoner ulovlig reidentifisering av data blir møtt med. Vårt håp er at norske politiske myndigheter bruker all innflytelse de har til å unngå at forordningen svekkes i sluttforhandlingene som begynner etter sommeren.

]]> https://www.personvernbloggen.no/2015/05/22/du-er-til-salgs/feed/ 0 https://www.personvernbloggen.no/2015/05/12/sjekker-personvernet-i-apper-for-barn/ https://www.personvernbloggen.no/2015/05/12/sjekker-personvernet-i-apper-for-barn/#respond https://www.personvernbloggen.no/wp-content/uploads/2018/10/Kari-Laumann_avatar_1539256187-200x200.jpg Tue, 12 May 2015 13:09:08 +0000 https://www.personvernbloggen.no/?p=1593 I går var den store sveipedagen. 29 personvernmyndigheter i 20 land rundt om i verden sjekket personvernet i apper for barn under 13. Prosjektet utføres i regi av personvernnettverket GPEN (Global Privacy Enforcement Network).

I det norske datatilsynet satt seks medarbeidere konsentrert bøyd over nettbrett og mobiltelefoner og testet apper for barn. Vi testet apper som er laget for barn (for eksempel Fantorangen-appen) og apper populære blant barn (for eksempel YouTube). Vi så etter hva appene samler inn av personopplysninger og hva slags informasjon appen gir om personvern.

Det er svært vanskelig å vite hva slags personopplysinger appene faktisk samler inn og hva de gjør med informasjonen vår – det var hovedkonklusjonen fra app-sveipet vi gjorde i fjor. Derfor var vi nysgjerrige da vi satte i gang med å teste apper for barn. Samler de inn mye personopplysninger? Har de gode personvernerklæringer? Er informasjonen om personvern forståelig for barn?

Uten å røpe for mye kan jeg avsløre at det var mange diskusjoner over bordet gjennom hele sveipedagen. Det var i mange tilfeller ikke lett å vite hva appen samlet inn av informasjon om brukeren – ofte var det ikke samsvar mellom personvernerklæring og hva brukeren opplevde at appen samlet inn under bruk av appen. I en av de mest populære appene (lastet ned 50-100 millioner ganger i Google Play store) som involverer et snakkende kjæledyr med heliumstemme fant vi blant annet denne setningen i den fyldige personvernerklæringen: «Our products and services are not directed to, and we do not knowingly collect personal information from, children under 13, however we consider ourselves to be familiy oriented». Dette i en app som ikke kan være myntet på andre enn barn under 13, og som beskriver i detalj hva slags informasjon appen samler inn (og det var ikke lite).

Vi skal nå i gang med å analysere resultatene fra det norske sveipet, og de internasjonale resultatene får vi i løpet av sommeren. Vi kommer til å publisere resultater og analyser i en rapport over sommeren.

Du kan lese mer om sveipene vi gjennomførte om personvernerklæringer i 2013 og apper i 2014 her.

Desto flere wifi-avlesere som plasseres ut, desto nøyaktigere blir lokasjonen på sporingen av den enkelte.

Det er også tenkt brukt iBeacons, Apples nye teknologi for sporing. iBeacon-løsningen er små bokser som sender ut egne unike identifikatorer. Disse identifikatorene kan i dag mottas av Apple-telefoner og vil fortelle din nøyaktige posisjon videre. På Helsinki flyplass regner man med at man kan spore 60 til 70 prosent av de besøkende på denne måten, da de har mobiltelefoner med wifi på.

Leverandøren av tjenesten påpeker at de med deres løsning kan plassere den enkeltes mobiltelefon helt eksakt. Leverandøren ser for seg at de besøkende med denne løsningen i fremtiden også kan bli fortalt om de fremdeles har tid til å shoppe eller besøke en restaurant eller om de bør gå til gaten. Det vil også være mulig å pushe meldinger til de besøkendes telefoner.

Med tanke på om slike løsninger i fremtiden også vil komme til Norge, mener vi som vanlig at det er viktig for personvernet at slike løsninger er klart frivillige og at den enkelte med letthet kan melde seg inn og ut av denne typen tjenester etter ønske. Det er også viktig at man må foreta et aktivt valg for å delta på slike løsninger (OPT-INN) og ikke automatisk er med og selv må melde seg ut om man ikke vil være med (OPT-OUT).

Det er mange spørsmål som vil oppstå i forbindelse med slike løsninger. Hvordan behandles personopplysningene? Hvor lenge lagres de? Hvem vil få tilgang til hvordan du oppfører deg på flyplassen, hvor du går og hvilke restauranter, pubber, butikker og varer du stopper opp ved og viser spesiell interesse. Slik kunnskap er av stor interesse for mange virksomheter og markedsførere. Denne kunnskapen om deg kan også dessverre misbrukes av mange aktører. At du satt i noen timer på flyplassens pub og hva du gjorde etterpå er kanskje ikke så farlig informasjon for noen, men det kan være ulike meninger her. Det er også uklart hva all denne informasjonen faktisk kan misbrukes til.

Om iBeacons: iBeacons er spesialtilpasset Apples iOS7-enheter, men vil også kunne brukes på Googles Android-mobiler. Giverne av slike identiteter benytter lavenergi Bluetooth, som gjør det mulig at slikt utstyr virker i år på et lite batteri.

 

Oversikt over iBeacons (businessinsider.com) 

Om wifi- og bluetooth-identitet (MAC-adresse): Mobiler kommuniserer data, ikke bare mot mobilleverandøren ved mobildata, men også mot trådløse nett og bluetooth-enheter. Mange lar wifi og bluetooth stå på. Disse kommuniserer da en unik identitet når din mobil leter etter bluetooth-enheter og trådløse nettverk. Dette kalles MAC-adresser, og du kan lett finne akkurat dine unike adresser i oppsettet på din mobil. Mange aktører kobler disse MAC-adressene mot din identitet. Det holder ikke å benytte skjult bluetooth, det er allikevel lett å lese adressen om du lar bluetooth stå på. Når det gjelder wifi er det litt vanskeligere, siden de fleste mobiler har mulighet for å sende ut den identifiserende wifi-adressen selv om man skrur mobilens wifi av. For å forhindre utsending av mobilens wifi-identitet selv når wifi er skrudd av på mobilen, må man sjekke dette i mobilens avanserte wifi-oppsett.

Les mer om planene for Helsinki flyplass

Nedenfor har jeg satt opp en oversikt over de ti ulike dokumentarprogrammene,  og når de blir sendt på NRK2. Du finner selvsagt også disse tilgjengelig på NRK nett-TV så snart de enkelte innslagene har vært vist på tv. Noen av linkene fungerer med andre ord ikke riktig enda.

(Omtalen er hentet fra NRK. Jeg tar forbehold om at jeg kan ha bommet enkelte steder mht sendeskjemaet)

Datalagringsdirektivet. Norsk dokumentar. Mer åpenhet, mer demokrati eller mer overvåking? I 2015 settes datalagringsdirektivet ut i livet. Alle data om kommunikasjonen mellom oss skal lagres. Hvor langt er vi villige til å strekke oss for å få et tryggere samfunn?

Sendes på NRK2: Onsdag 02.04. kl 12:30, lørdag 05.04 kl 19.40 eller søndag 06.04 kl 15.10.
NRK nett-tv:  http://tv.nrk.no/program/koid75005313/tema-dine-digitale-spor-datalagringsdirektivet

Du er googla. Svensk dokumentar. Kva finn arbeidsgjevaren, kollegaene eller den nye kjærasten din om deg på nettet? Bengt og Tina veit kva som kan hende dersom ein mister kontrollen over namnet sitt i Google sitt søk. Og kan ein lage eit meir attraktivt bilde av seg sjølv på nettet? Produsent Johan Ripås forsøker å ta makten over sin eigen digitale identitet.

Sendes på NRK2: Torsdag 03.04 kl 22:50, lørdag 05.04 kl 00:25.
NRK nett-tv: http://tv.nrk.no/program/koid33001312/du-er-googla

Overvåkingssamfunnet. Nederlandsk dokumentar. Det er få som har noe å skjule. Men kontroll av folks privatliv øker. Grensen mellom overvåking og å gi beskyttelse kan være flytende. Hvordan overvåkes vi, og hvorfor er liberale land spesielt utsatt? (Panopticon)

Sendes på NRK2: Torsdag 03.04 kl 20:15, fredag 04.04 kl 14:45, søndag 06.04 kl 16:25.
NRK nett-tv: http://tv.nrk.no/program/koid20001114/tema-dine-digitale-spor-overvaakningssamfunnet

Vilkår og betingelser. Kanadisk dokumentar. En tankevekkende film om avtalene alle skriver under på, men ingen leser. I en tid der alle er bestyrtet over de amerikanske myndighetenes overvåking av den globale nettrafikken, er det et tankekors at så mange av oss ivrer etter å dele den samme informasjonen via sosiale medier. (Terms and Conditions May Apply)

Sendes på NRK2:  Tirsdag 01.04 kl 21:31, onsdag 02.04 kl 12.55, fredag 04.04 kl 20:00, søndag 06.04 kl 14:10.
NRK nett-tv: http://137.117.134.253/program/koid27003413/tema-dine-digitale-spor-vilkaar-og-betingelser

Big data – en ny tidsalder. Britisk dokumentar. I Los Angeles avverger politiet kriminelle handlinger ved hjelp av data som allerede er samlet inn. Hver dag produserer vi mennesker en større mengde informasjon enn vi gjorde fra sivilisasjonens fødsel og fram til år 2000. Hvordan går det an å finne fram i en så stor mengde informasjon, og hvordan kan den komme til nytte? (The Age of the Big Data)

Sendes på NRK2: tirsdag 01.04 kl 23.20,  lørdag 05.04 kl 18:50, søndag 06.04 kl 13:20, mandag 07.04 kl 09:40.
NRK nett-tv:  http://tv.nrk.no/program/koid27002613/tema-dine-digitale-spor-big-data-en-ny-tidsalder

Datajournalistikk og Big data. Nederlandsk dokumentar. Analyse av store datamengder gir nye muligheter for undersøkende journalistikk. Basert på dokumenter fra wikileaks og andre kilder kom nederlandske journalister på sporet av forretningshemmeligheter hos oljeselskapet Shell. Til tross for internasjonal handelsboikott ble det bevist at Shell drev forretninger med Iran. (Big Data: The Shell Search)

Sendes på NRK2: Lørdag 05.04. kl. 21:10, søndag 06.04 kl 13:20.
NRK nett-tv: http://137.117.134.253/program/koid21003114/tema-dine-digitale-spor-datajournalistikk-og-big-data

GPS – kven har kontroll. Fransk dokumentar. GPS, det satellittbaserte radionavigasjonssystemet, har gjort livet vårt enklere. Nå er flere land i ferd med å utvikle nye lignende systemer. Men kan disse brukes parallelt? Og er amerikanerne villig til å gi opp sitt monopol? Norsk kommentar: Gry Molvær(GPS – A Global War)

Sendes på NRK2: Onsdag 02.04 kl. 21:40, torsdag 03.04 kl 14:50, søndag 06.04 kl 15:35, mandag 07.04 kl 10:30
NRK nett-tv: http://137.117.134.253/program/koid27004113/tema-dine-digitale-spor-gps-kven-har-kontroll

Et møte med Edward Snowden. It-spesialisten Edward Snowden kom i verdens søkelys da han lekket store mengder amerikanske etterretningsdokumenter. Siden 23. juni 2013 har han oppholdt seg i Russalnd, der han er invilget politisk asyl. Dette intervjuet, gjort for den tyske tv-kanalen ARD, forteller Edward Snowden sin versjon av historien.

Sendes på NRK2: Onsdag 02.04 kl. 22:50, fredag 04.04 kl 14:15, fredag 04.04 kl 19:30.
NRK nett-tv: http://tv.nrk.no/program/koid20005814/et-moete-med-edward-snowden

Kampen mot hackerne. Britisk dokumentar. Eksperter på fysikk, matematikk og data jobber intenst for å ligge i forkant av forbryterne som stjeler informasjon og penger fra cyberspace. Ved hjelp av avansert kryptologi og matematikk jobber globale aktører for å sikre verdiene våre. (Horizon: Defeating the Hackers)

Sendes på NRK2: Fredag 04.04 kl 21:30, lørdag 05.04 kl 11:10, søndag 06.04 kl 17:20, mandag 07.04 kl 12:15.
NRK nett-tv: http://tv.nrk.no/program/koid25007513/tema-dine-digitale-spor-kampen-mot-hackerne

Kroppslig overvåking. Britisk dokumentar. Snart kan vi overvake alt frå søvn, kaloriforbruk og symptom på sjukdom med enkle digitale hjelpemiddel. Dr. Kevin Fong gjer eit eksperiment. Han vil finne ut om vi blir friskare av å bruke dei nye teknologiane. (Horizon: Monitor Me)

Sendes på NRK2: Søndag 06.04 kl 20:05, mandag 07.04 kl 13:05.
NRK nett-tv: http://tv.nrk.no/program/koid25002313/kroppslig-overvaaking

Data kan lagres, deles, omsettes og gjenbrukes på en måte vi ikke har sett tidligere. I 2015 antas det å være 12 milliarder enheter med internettoppkobling. 90 % av alle data er produsert de siste to årene. Over en milliard mennesker er på Facebook. Det foregår en velferdsteknologisk revolusjon, nye helseregistre etableres, journalsystemer fornyes og terrorlovgivningen strammes inn. Digitaliseringen gjør det mulig å dele data i stadig større utstrekning på tvers av offentlige etater. Hvilke personvernmessige utfordringer møter de som skal styre landet de neste årene?

Personvern anno 2013 krever en miks av virkemidler; lovgivning, riktig bruk av teknologi, informasjon og samfunnsansvar. Regjeringen la sist vinter fram stortingsmeldingen Personvern – utsikter og utfordringer. Her ble det fastsatt et prinsipielt mål om innebygd personvern i alle sektorer. Dette betyr at personvernet skal bygges inn i de teknologiske løsningene fra starten og det vil bli stilt krav om at personvernvennlige løsninger skal være forhåndsdefinerte som standardinnstilling.

Dersom viktige prosesser som for eksempel nytt folkeregister, ny nasjonal kjernejournal, ny helseregisterlov og statens digitaliseringsprogram bygges på  prinsippene for innebygd personvern, vil det være av stor betydning for borgernes personvern.

Det satses stort på omsorgsteknologiske løsninger i helsesektoren. Bruk av GPS på demente og tilsvarende løsninger vil øke kraftig de neste årene. I stortingsmeldingen Morgendagens omsorg understrekes viktigheten av personvern og sikkerhet ved innføring av velferdsteknologiske løsninger. Vi har en unik mulighet til å ivareta personvernet til landets borgere like fra starten av. Dette handler først og fremst om politisk vilje.

Helsesektoren lagrer sensitive opplysninger om samtlige norske borgere fra vi fødes til vi dør. I Stortingsmelding 9, En innbygger – en journal, trekker regjeringen opp visjonen om at helsepersonell hvor som helst i landet kan få tilgang til helseopplysningene til enhver pasient. Et slikt system kan løse noen av de utfordringene sektoren står overfor, men det kan også bli en svært dårlig løsning for borgernes personvern. Alt avhenger av hvordan systemet designes. Noen viktige forutsetninger er svært høy sikkerhet, god tilgangsstyring, logging av oppslag i journal, logganalyse og innsyn i hvem som har gjort oppslag. Selvsagt må prinsippene for innebygd personvern følges.

Ved bruk av big data-teknologi er det mulig å utvikle en terrorist-algoritme, der søkehistorie, kjøp over nett, venner, interesser, bosted, religion osv inngår. Før sommeren vedtok Stortinget regler som ytterligere kriminaliserer det å forberede terrorhandlinger. De nye lovhjemlene var blant annet begrunnet i et ønske om å gi politiet adgang til å benytte inngripende tvangsmidler i forebyggende øyemed. Det er svært viktig at lovgiver er seg bevisst hvilken betydning ny teknologi får for praktisering av regelverket og farene dette innebærer for den enkeltes personvern og rettssikkerhet. Vi har dessverre flere eksempler på at det ikke alltid har vært tilfelle.

Personvernspørsmål har gradvis beveget seg inn i den utenrikspolitiske sfære. Norske borgeres Facebook-kontoer og Google-søk kan ha blitt overvåket av amerikanske sikkerhetsmyndigheter.

Staten har en viktig oppgave i å beskytte borgernes frihet og retten til privatliv. Det er derfor også en viktig oppgave for norske myndigheter å sørge for at ulovlig overvåkning av norske borgere opphører, uavhengig av hvem som står bak overvåkningen. Det er dessuten all grunn til å tro at det finnes andre hemmelige overvåkningsprogrammer enn de som nå har blitt avslørt.

I EU jobbes det med en ny personvernforordning, der det foreslås å opprette et nytt organ med helt sentrale oppgaver, blant annet til å fortolke personvernregelverket. Som ikke-medlem er det avgjørende at Norge får en plass i dette organet. Regjeringen, uansett farge, må derfor jobbe hardt for at Datatilsynet blir representert her.

I tillegg er det utfordringer med registrering av bompasseringer, etablering av gjeldsregister, ny helseregisterlov og offentlige organers kontrollhjemler, for å nevne noe.

Jeg tror Snowden-saken har åpnet manges øyne for viktigheten av personvern. Det handler om å beskytte borgerens rett til privatliv, til å ha et rom ingen skal trenge inn i og til i størst mulig utstrekning selv bestemme hva man vil dele med andre. I dagens høyteknologiske, digitale samfunn er disse verdiene viktigere enn noen gang.

Vi er alle godt kjent med at biologiske spor kan ha betydning for å oppklare kriminelle handling, og her er NOKAS-saken et stjerneeksempel. I tillegg brukes denne typen materiale til å fastslå for eksempel farsskap og i rusmiddeltesting på arbeidsplasser. Det vi har avdekket gjennom de to sakene er at regelverket som regulerer hvordan slikt materiale skal behandles i beste fall er uklart, i verste fall er det er lovtomt rom. Dette skyldes dels av Personvernnemnda i 2002 kom til at biologisk materiale i seg selv ikke er personopplysninger og at personopplysningsloven ikke kommer til anvendelse. I tillegg er det klart at verken helseforskningsloven eller behandlingsbiobankloven uttømmende regulerer behandling av biologisk materiale.

La oss ta et eksempel. Det utføres en rustest (blodprøve) på en arbeidsplass, for eksempel en boreplattform. Denne sendes til analyse i et analyseinstitutt, og det finnes spor av alkohol i prøven. Følgende spørsmål oppstår: Hvor lenge kan prøven oppbevares hos analyseinstituttet? Hvem kan få tilgang til prøven og hva kan den brukes til? Kan den for eksempel brukes til forskning? Hvem kan pålegge sletting dersom det for eksempel avdekkes at prøven er lagret i ti år?

I dag er det ikke noe godt svar på disse spørsmålene. Nå kan en av to ting skje. Enten kan Personvernnemnda endre sin definisjon av biologisk materiale og si at dette er en personopplysning slik at personopplysningsloven kommer til anvendelse. Nemnda har nå en sak mot Rettsmedisinsk institutt til behandling der dette er ett av flere tema. Eller lovgiver kan ta tak i denne problemstillingen og sørge for at biologisk materiale lovreguleres på en skikkelig måte. Dette vil gi en helt nødvendig styrking av personvernet til de som avlegger ulike typer biologiske prøver.