Talerlisten var lang, og det ble sagt mange flotte ord. Det var flere som påpekte at dette er første gang i Norge at man får til et så bredt samarbeid mellom private, offentlige og militære interesser. Her er det mange parter som går inn i et samarbeid, selv om de har ganske så ulike agendaer. Samtidig er det slik at alle partene har gått inn med midler eller støtte i en eller annen form, og derfor forventer de resultater.

CCIS skal levere kunnskap i form av forskning, kunnskapsforedling, -formidling, -utvikling og utdanning. Målet er å beskytte våre verdier fra trusler og angrep og forutse våre sårbarheter for å kunne avverge uønskede hendelser. Resultatene fra arbeidet skal deretter brukes for å avdekke sårbarheter i samfunnet vårt, slik at vi kan forutse og avdekke nye angrep, og øke samfunnets samlede kunnskap om digital sikkerhet og beskyttelse.

Balansegangen mellom personvern og sikkerhet er krevende, og særlig når den skal forvaltes av så mange aktører med hver sin agenda, men hvor ingen har en agenda der personvern står øverst på lista.

Flere av talerne nevnte personvern som et viktig element i CCIS sitt arbeid. Det er jeg svært glad for å høre. Likevel lurer jeg på i hvor stor grad personvern egentlig vil bli en del av CCIS sitt arbeid. Balansegangen mellom personvern og sikkerhet er krevende, og særlig når den skal forvaltes av så mange aktører med hver sin agenda, men hvor ingen har en agenda der personvern står øverst på lista. Dette var også mitt hovedbudskap i innlegget jeg holdt under åpningen, her kan du lese det:

Innlegg på åpning av CCIS-senteret på Gjøvik

Først av alt – tusen takk for invitasjonen.

Gratulerer med meget godt arbeid. Det er rett og slett imponerende å stable på beina et senter for informasjonssikkerhet av denne størrelsen, og på så kort tid.

 

Jeg er oppriktig glad for at dette har lyktes. Informasjonssikkerhet er viktigere enn noen gang (det er derfor vi er her alle sammen). Det kan også se ut til at Morten Irgens og hans hjelpere har fått til noe vi kanskje ikke er så flinke til i Norge, nemlig å få ulike aktører til å trekke sammen og samarbeide. Som et eksempel kan jeg nevne at Helse Sørøst har 3 500 datasystemer, og de færreste snakker sammen. Grunnen er at man i hvert fall ikke skulle ta i bruk samme dataløsninger som nabosykehuset eller nabokommunen. Derfor har vi havnet i den ulykkelige situasjonen vi er i i helsesektoren. Jeg er også glad fordi det i bunnen for dette prosjektet ligger en kraftig satsing på forskning og utvikling. For å være litt personlig: I min første jobb hadde jeg en mentor/fadder som fra første stund viste meg hvor viktig FoU var. Det gjaldt noe helt annet enn det vi snakker om i dag, nemlig gjeldsproblemer. Men den forskningen som ble gjort på dette området hadde en direkte følge. Det ble vedtatt en gjeldsordningslov som i årene som har fulgt har hjulpet titusenvis av norske familier ut av den fortvilte situasjonen det er å ikke kunne betale gjelda si, å kanskje ikke kunne la ungene delta på fritidsaktiviteter og gjøre andre ting vi som er så heldige å ikke ha slike problemer slipper å bekymre oss over.

 

Allikevel er dette en dag som for meg inneholder et lite MEN. Noen av dere var til stede på kick off-møtet i vinter og hørte innlegget mitt der. Da forsøkte jeg å få fram følgende budskap: Nemlig at et senter som til de grader er dominert av tunge næringslivsaktører, politiet (inkludert PST), den sivile sikkerhetsmyndigheten og forsvaret, veldig lett kan se bort fra de det sivile samfunn, borgerne, personvernet og i ytterste konsekvens menneskerettighetene. Jeg er helt sikker på at hvis jeg spør hver og en av dere om personvern er en viktig verdi, ville dere sagt ja. Og jeg ville trodd dere. OG, dere ville vært i takt med befolkningen. I en undersøkelse vi gjennomførte for under et år siden sa 46 prosent av befolkningen at de var mer opptatt av personvern enn tidligere, mens 87 prosent sa de var svært eller ganske opptatt av personvern. Kun 13 prosent sa de var lite opptatt av personvern, en nedgang på 10 prosent fra 2013.

 

Hvor ligger så spenningen mellom overvåkning og kontroll på den ene siden og personvern på den andre, og enda mer relevant i denne sammenhengen, hvor ligger spenningen mellom personvern og informasjonssikkerhet?

 

Først: hva er egentlig personvern?

• Størst mulig grad av selvbestemmelse og kontroll med egne personopplysninger
• Informasjon om hvilke opplysninger som er registrert
• Innsynsrett i de samme opplysningene
• Gode interne rutiner for håndtering av opplysninger, det vil si hva som skal lagres, når det skal slettes osv
• Og til slutt god informasjonssikkerhet

 

Langt på vei er det altså et sammenfall mellom personvern og informasjonssikkerhet. God informasjonssikkerhet er en forutsetning for godt personvern. Og her mener jeg informasjonssikkerhet i betydningen «data kommer ikke på avveie». Derfor er det egne informasjonssikkerhetsbestemmelser i personopplysningsloven, og i 80-90 prosent av alle tilsyn vi gjennomfører sjekker vi virksomhetens informasjonssikkerhet. Det hjelper ikke med selvbestemmelse, informasjon eller sletterutiner dersom man lett kan bryte seg inn å forsyne seg med sensitive, eller for den saks skyld ikke-sensitive, opplysninger.

 

Men god informasjonssikkerhet kan i seg selv aldri være godt personvern. Det er kun dersom de andre viktige vilkår er tilstede at vi kan snakke om god informasjonssikkerhet og godt personvern i sammen.

 

La meg ta en eksempel: God informasjonssikkerhet vil i mange tilfelle innebære en form for kontrollvirksomhet. Dersom det dreier seg om en ren skallsikring er det greit, men det kan dreie seg om å skanne innhold som kommer inn til en virksomhet for å forhindre skadelig programvare, malware, spyware eller lignende, eller det kan dreie seg om overvåkning av ansatte, skanning av epost eller kartlegging av deres surfemønster. Her er personvern og informasjonssikkerhet på kollisjonskurs – i utgangspunktet.

 

God informasjonssikkerhet kan også bli brukt som en unnskyldning for å ikke ivareta de andre viktige personvernhensynene. Dette så vi særlig godt i debatten om datalagringsdirektivet. Her ble våre argumenter om at direktivet var et for stort inngrep i den enkeltes frihet nærmest fnyst av, også av representanter for etater som er tilstede her i dag. Det ble blant annet brukt som motargument at disse dataene jo ville være svært godt sikret. Dette ble også den politiske løsningen, nemlig at man påla en del informasjonssikkerhetstiltak. Resultatet vet vi alle sammen: Direktivet ble kjent ugyldig av EU-domstolen fordi det stred mot helt grunnleggende borgerrettigheter, som retten til personvern og retten til et privatliv. Domstolen sa blant annet at direktivet kunne føre til at borgerne følte seg «kontinuerlig overvåket».

 

Og her er vi inne på noe helt vesentlig. Når vi ser på alle de overvåkningstiltak som er i samfunnet i dag, med nye terrorlover, Snowden-saken og så videre, er det viktig å stille spørsmålet: Påvirker dette oss negativt? Blir vi redde for å kommunisere? Og nøyaktig det samme spørsmålet kan vi stille oss når det gjelder informasjonssikkerhetstruslene. Blir vi redde for å kommunisere? Er vi redde for å sende en e-post til psykologen vår eller til gamlekjæresten eller til en litt sær politisk organisasjon eller til organisasjonen for de med den annerledes seksuelle holdningen. Den dagen vi sier JA på disse spørsmålene, har vi mistet en veldig vesentlig samfunnsverdi.

 

Det er derfor vi hele tiden må lete etter balansen mellom personvern og overvåking, og mellom personvern og informasjonssikkerhet. Vi må sikre samfunnsverdiene og trygge samfunnet vårt, men vi må ikke skape et samfunn som er så trygt at vi mister friheten. 13 prosent av befolkningen svarte at de som en følge av Snowden-avsløringene på en eller annen måte hadde lagt bånd på seg i sin kommunikasjon. Dette er et tall vi må følge meget nøye.

 

Hvem skal ivareta de sivile, borgerlige rettighetene i dette prosjektet? Hvem skal sørge for at personvernhensyn blir ivaretatt, hvem skal sørge for at vi ikke havner i en ny datalagringsdirektiv-situasjon, der situasjonen hauses opp og det skapes skremmebilder som gjør at det vedtas direktiver og lover som blir kjent ugyldig av domstolene. Slik jeg ser det i dag er det ingen av de sentrale aktørene og bidragsyterne som har en slik rolle. Jeg har tillit til politiet, til forsvaret og de store teleselskapene. Jeg forventer at de legger vekt på personvern i sitt arbeid, og det vet jeg også at de forsøker å gjøre. Men det er ikke politiets jobb, eller kompetanseområde, å snakke varmt for personverninteressene og de borgerlige rettighetene. Det er Datatilsynet jobb, det er juridisk fakultet sin jobb, det er andre FoU-miljøer som jobber med slike interesser som må gjøre den jobben. Og de er ikke representert i dette forskningssenteret. Jeg er imidlertid veldig glad for at Høyskolen i Lillehammer for to timer siden undertegnet en samarbeidsavtale med CCIS. Det er nettopp slike miljøer som kan sørge for at de verdiene jeg her snakker om blir ivaretatt.

 

Etter hvert forskningssenter er avhengig av tillit og legitimitet for å bli lyttet til. Min agenda er som følger: Jeg mener det som kommer ut fra dette senteret vil ha større legitimitet og større gjennomslagskraft dersom også våre interesser blir lyttet til. Derfor er det svært viktig at det også kommer på plass et institutt eller en avdeling eller personer som jobber med de sivile, borgerlige sidene, heri også medregnet personvernet.

 

Når det er sagt ønsker jeg igjen gratulerer med imponerende arbeid og lykke til!

Data kan lagres, deles, omsettes og gjenbrukes på en måte vi ikke har sett tidligere. I 2015 antas det å være 12 milliarder enheter med internettoppkobling. 90 % av alle data er produsert de siste to årene. Over en milliard mennesker er på Facebook. Det foregår en velferdsteknologisk revolusjon, nye helseregistre etableres, journalsystemer fornyes og terrorlovgivningen strammes inn. Digitaliseringen gjør det mulig å dele data i stadig større utstrekning på tvers av offentlige etater. Hvilke personvernmessige utfordringer møter de som skal styre landet de neste årene?

Personvern anno 2013 krever en miks av virkemidler; lovgivning, riktig bruk av teknologi, informasjon og samfunnsansvar. Regjeringen la sist vinter fram stortingsmeldingen Personvern – utsikter og utfordringer. Her ble det fastsatt et prinsipielt mål om innebygd personvern i alle sektorer. Dette betyr at personvernet skal bygges inn i de teknologiske løsningene fra starten og det vil bli stilt krav om at personvernvennlige løsninger skal være forhåndsdefinerte som standardinnstilling.

Dersom viktige prosesser som for eksempel nytt folkeregister, ny nasjonal kjernejournal, ny helseregisterlov og statens digitaliseringsprogram bygges på  prinsippene for innebygd personvern, vil det være av stor betydning for borgernes personvern.

Det satses stort på omsorgsteknologiske løsninger i helsesektoren. Bruk av GPS på demente og tilsvarende løsninger vil øke kraftig de neste årene. I stortingsmeldingen Morgendagens omsorg understrekes viktigheten av personvern og sikkerhet ved innføring av velferdsteknologiske løsninger. Vi har en unik mulighet til å ivareta personvernet til landets borgere like fra starten av. Dette handler først og fremst om politisk vilje.

Helsesektoren lagrer sensitive opplysninger om samtlige norske borgere fra vi fødes til vi dør. I Stortingsmelding 9, En innbygger – en journal, trekker regjeringen opp visjonen om at helsepersonell hvor som helst i landet kan få tilgang til helseopplysningene til enhver pasient. Et slikt system kan løse noen av de utfordringene sektoren står overfor, men det kan også bli en svært dårlig løsning for borgernes personvern. Alt avhenger av hvordan systemet designes. Noen viktige forutsetninger er svært høy sikkerhet, god tilgangsstyring, logging av oppslag i journal, logganalyse og innsyn i hvem som har gjort oppslag. Selvsagt må prinsippene for innebygd personvern følges.

Ved bruk av big data-teknologi er det mulig å utvikle en terrorist-algoritme, der søkehistorie, kjøp over nett, venner, interesser, bosted, religion osv inngår. Før sommeren vedtok Stortinget regler som ytterligere kriminaliserer det å forberede terrorhandlinger. De nye lovhjemlene var blant annet begrunnet i et ønske om å gi politiet adgang til å benytte inngripende tvangsmidler i forebyggende øyemed. Det er svært viktig at lovgiver er seg bevisst hvilken betydning ny teknologi får for praktisering av regelverket og farene dette innebærer for den enkeltes personvern og rettssikkerhet. Vi har dessverre flere eksempler på at det ikke alltid har vært tilfelle.

Personvernspørsmål har gradvis beveget seg inn i den utenrikspolitiske sfære. Norske borgeres Facebook-kontoer og Google-søk kan ha blitt overvåket av amerikanske sikkerhetsmyndigheter.

Staten har en viktig oppgave i å beskytte borgernes frihet og retten til privatliv. Det er derfor også en viktig oppgave for norske myndigheter å sørge for at ulovlig overvåkning av norske borgere opphører, uavhengig av hvem som står bak overvåkningen. Det er dessuten all grunn til å tro at det finnes andre hemmelige overvåkningsprogrammer enn de som nå har blitt avslørt.

I EU jobbes det med en ny personvernforordning, der det foreslås å opprette et nytt organ med helt sentrale oppgaver, blant annet til å fortolke personvernregelverket. Som ikke-medlem er det avgjørende at Norge får en plass i dette organet. Regjeringen, uansett farge, må derfor jobbe hardt for at Datatilsynet blir representert her.

I tillegg er det utfordringer med registrering av bompasseringer, etablering av gjeldsregister, ny helseregisterlov og offentlige organers kontrollhjemler, for å nevne noe.

Jeg tror Snowden-saken har åpnet manges øyne for viktigheten av personvern. Det handler om å beskytte borgerens rett til privatliv, til å ha et rom ingen skal trenge inn i og til i størst mulig utstrekning selv bestemme hva man vil dele med andre. I dagens høyteknologiske, digitale samfunn er disse verdiene viktigere enn noen gang.

Etter terrortragedien den 22. juli 2011 ble det uttrykt en bred politisk enighet om at terror skal bekjempes med mer åpenhet og mer demokrati. Dette var et godt signal for alle som er opptatt av personvern. En slik hendelse utløste likevel, og naturlig nok, en debatt om politiets fullmakter og endringer i straffeloven. Særlig politiet og deres foreninger har vært aktive på forslagsfronten. Det har blant annet blitt fremmet forslag om utvidelse av lagringsplikten i den såkalte Ekomloven (som implementerer datalagringsdirektivet) til også å gjelde internettkafeer, hoteller, biblioteker og andre områder med trådløse nett. Videre har Politiets sikkerhetstjeneste (PST) krevd mer utveksling av informasjon fra offentlige etater til PST, samt en styrket plikt for helsepersonell til å melde fra om mistenkelige personer.

Inngripende forslag må ikke ukritisk baseres på politiets ønsker
Flere av forslagene er blitt fulgt opp politisk. Sommeren 2012 sendte regjeringen et forslag om ytterligere kriminalisering av såkalte ”forberedelseshandlinger” til terror på høring. Forslaget var i det vesentlige bygd på forslag fra PST. Datatilsynet og flere andre høringsinstanser uttalte seg sterkt kritisk til forslaget, og da særlig til at de foreslåtte lovendringene var dårlig utredet. Det var heller ikke foretatt vurderinger av forslaget opp mot for eksempel Menneskerettighetskonven­sjonens beskyttelse av privatlivets fred.

Datatilsynet fant også grunn til å minne om at det er et grunnleggende prinsipp i en demokratisk rettsstat at det er lovgiver som skal sette grenser for politiets inngrep overfor borgerne. Dette gjelder selv om politiet har de beste intensjoner og utfører en samfunnsnyttig oppgave. Det er uheldig når svært inngripende forslag baseres nokså ukritisk på politiets ønsker, slik forslaget om å kriminalisere forberedelse til soloterrorisme gjorde.

Absolutt trygghet er ikke mulig
Politiet, og særlig PST, underbygger sine ønsker om utvidede fullmakter med at det ellers er vanskelig å innfri samfunnets forventninger om at de skal beskytte oss mot terrorisme og annen alvorlig kriminalitet. Kanskje handler dette også om at Stortinget må justere egne og befolkningens forventninger til hvilken beskyttelse staten kan garantere, uten at det kommer i konflikt med et felles ønske om mer demokrati og mer åpenhet. Det er viktig å kommunisere at den absolutte trygghet ikke er mulig å oppnå innenfor et åpent, demokratisk samfunn som vårt. Tiltakene som innføres for å etterkomme ønsket om trygghet kan faktisk føre til at tilliten til staten undergraves, og dermed forutsetningen for ivaretakelse av tryggheten.

Behov for og effekter av tiltak må dokumenteres
Datatilsynet mener det er viktig at det stilles kritiske spørsmål når politiet ber om utvidede fullmakter og når stadig mer av borgernes handlinger belegges med et potensielt straffeansvar. I en tid og et land hvor verken teknologien eller ressursene setter faktiske grenser for hvilke tiltak som kan iverksettes overfor borgerne, må Stortinget basere grensesettingen på en konkret og prinsipiell avveiing av ulike samfunnsinteresser. Det er viktig da å etterspørre dokumentasjon på at inngripende tiltak faktisk er effektive, og at man identifiserer og tar på alvor de mothensyn som gjør seg gjeldende, før politiets fullmakter utvides på bekostning av borgernes frihet.

Debatten i kjølvannet av voldtektsbølgen i Oslo høsten 2011 er illustrerende. Mange tok til orde for at flere overvåkingskameraer var veien å gå. Datatilsynet var en ganske ensom stemme som advarte mot flere kameraer og vi stilte spørsmål ved om effekten av tiltaket sto i forhold til det inngrepet dette var i borgernes personvern. Sentrale politikere pekte på København som en foregangsby. Nå har danskene etter sigende skrinlagt planen om flere kameraer. Politiinspektør Svend Foldager fra Københavns Politis Efterforskningsenhed sier at ”det er ekstremt omkostningstungt både at få data ind og opbevare dem, og så må vi koldt og kynisk se på udbyttet. Det har ikke nogen præventiv virkning.Vi kan bruge det til opklaring af tilfældige ting, og det er selvfølgelig godt, men det er ikke sådan, at videoovervågningen reelt gør en forskel”.

Det er også viktig at personverninngripende tiltak evalueres slik tilfellet var med kameraovervåkingen i København. Det må føres en løpende debatt, også i Stortinget, om nivået på den totale overvåkingen i samfunnet. Selv om hvert enkelt tiltak i seg selv ikke er inngripende, er det grunn til å advare dersom totaliteten blir for stor. Dersom et inngrep ikke har noen dokumenterbar effekt på kriminalitetsbekjempelsen, må det oppheves.

Personvern handler om respekt for det enkelte individ, om klare lovhjemler og forutberegnelighet, om åpenhet, om grundige forhåndsvurderinger og om evaluering. Dersom Stortinget vedtar lover bygd på disse prinsippene, og politiet bygger sitt arbeid på de samme prinsippene, har vi alle sjanser til å lykkes i å bevare det tillitsbaserte samfunn. Da kan vi også klare kunsten ikke å miste hodet etter 22. juli.