www.nkrf.no » Kommunerevisoren.no » 2018 » Nr. 5

Søk

Forsidebilde:
Bjørn Bråthen
(Trangt om plassen i Pollen under Arendalsuka)

NKRF
Haakon VIIs gt. 9
Postboks 1417 Vika
0161 Oslo

Tlf: +47 23 23 97 00

post@nkrf.no

Hopp over seksjon - Til hovedinnhold - Topp

Personvern anno 2018

Bjørn Erik Thon, direktør, Datatilsynet

Den 20. juli 2018 trådte den nye personopplysningsloven i kraft. Det er på høy tid, for den gamle loven var faktisk 18 år gammel, og på personvernområdet er det som en skikkelig olding å regne.

Men hvorfor trenger vi et nytt regelverk? Jeg vil først peke på noen utviklingstrekk som illustrerer hvordan tiden har løpt fra regelverket, og som påvirker i stor grad. Deretter går jeg gjennom de viktigste punktene i personvernforordningen.  

Det samles inn enorme datamengder om oss alle, hele tiden, døgnet rundt. I løpet av ett minutt på internett søker vi for eksempel 3,5 millioner ganger på Google, vi sender 1,8 millioner snapper, vi sveiper 990 000 ganger på Tinder og ser 70 017 timer film på Netflix. Dette er tall vi egentlig ikke kan forstå omfanget av, men det er allikevel slik at alle disse dataene, i motsetning til for ganske kort tid siden, faktisk blir brukt. Det er et trehodet troll som styrer bruken, nemlig algoritmer, kunstig intelligens og automatiserte avgjørelser. Mennesker vil etter hvert fases ut av mange beslutninger. I offentlig sektor har for eksempel både NAV, Statens Lånekasse for Utdanning og Utlendingsdirektoratet automatisert enkelte avgjørelser, og det er lenge siden et menneske gjorde manuelle kredittvurderinger. På sikt kan dette bety at svært viktige tjenestetilbud som trygd, studiestøtte, bostøtte, lån og forsikring treffes av maskiner, ikke mennesker.  

Er så dette problematisk? Ikke nødvendigvis. Kanskje har maskinen færre fordommer, den er aldri sulten eller tørst, kan jobbe 24 timer i døgnet og lar seg ikke irritere over masete sjefer. Men vi må stille noen helt grunnleggende spørsmål som for eksempel:

  • Hvem utvikler algoritmen som ligger til grunn for avgjørelsen?
  • Hvordan skal jeg, som borger og bruker, vite at maskinen bygger sin avgjørelse på algoritmer som ikke er skjeve?
  • Hvordan skal borgerne informeres om hvordan avgjørelsen er truffet, og hvilke opplysninger som inngår i beslutningsgrunnlaget?

Vi følger også utviklingen av kunstig intelligens meget nøye. I dag er det anslått at en maskin med kunstig intelligens kan treffe de samme beslutninger som et menneske kan, i løpet av ett sekund. Det betyr at en maskin kan kjenne igjen ansikter, kjønn, rase og seksuell legning. Det er også verdt å reflektere over at de fleste avgjørelser i trafikk må tas i løpet av ett sekund, hvis ikke kræsjer vi. Derfor er det ikke overraskende om det er i trafikken vi får den første virkelige revolusjonen styrt med kunstig intelligens.

Et annet trekk i utviklingen er at det er svært vanskelig, for ikke å si umulig å vite hva dataene blir brukt til. I vinter rullet skandalen med Facebook og selskapet Cambridge Analytica, der sistnevnte selskap hadde fått tilgang til enorme mengder data om millioner av vanlige Facebook-brukere som angivelig ble brukt til å påvirke valget i USA og Brexit-avstemningen i Storbritannia.

Saken startet egentlig for et års tid siden, da to sveitsiske journalister skrev artikkelen «Dataene som snudde verden på hodet». Men, det verken journalistene, eller vi som har jobbet mye med sosiale medier visste, var hvordan de samlet inn dataene. Vi trodde det var basert på samtykke, og formelt var det kanskje det, men folk visste neppe hva de ga tillatelse til. De fleste dataene kom via appen thisisyourdigitallife, en slags personlighetstest på nett. Dermed kunne Cambridge Analytica høste inn masse persondata, og Facebooks brukervilkår åpnet for at de ikke bare kunne høste data fra de som brukte appen, men også deres venner og venners venner. Derfor kunne Cambridge Analytica hente inn data om 87 millioner amerikanske brukere (noen opererer med et lavere tall). Det blir en veldig liten parentes at 17 nordmenn lastet appen, men har en betydelig interesse at 47 000 nordmenn kan ha være eksponert.

Vi kan si veldig mye om denne saken. Den viste at data, som jeg skrev over, kunne brukes politisk til å påvirke et valg. Den har også vært en alvorlig skrell for Facebook, og aksjen falt med 12 prosent på det meste. I skrivende stund varslet det britiske datatilsynet en bot på fem millioner pund mot Facebook. Cambridge Analytica er konkurs, og ledelsen skandalisert. 

En viktig side ved denne saken er at mange har fått opp øynene for hva vi deler av data. Kanskje er ikke tester av typen hva slags hund ville du vært eller hvilket land er du egentlig innbygger av så veldig morsomme lenger. Og kanskje er det slik at vi nå vet litt mer om hvor mye data som finnes om oss, og hvor store datamengdene er.

Resultatet av det jeg har beskrevet over er at nær sagt alle tjenester personifiseres og individualiseres.

Resultatet av det jeg har beskrevet over er at nær sagt alle tjenester personifiseres og individualiseres. En gruppe på tusen mennesker som mottar samme tilbud er ikke så interessant lenger, nå skal hvert enkelt menneske motta et tilbud basert på den enkeltes digitale profil. Reklame skal skreddersys. Har vi lest en artikkel om Roma får vi vist reklamer for Roma. Avisen skreddersys, sakte, sakte, og ligner litt mer på den avisen vi leste i går. Et politisk budskap skal skreddersys, slik Cambridge Analytica gjorde. Og forsikring vil kanskje bli basert på en individuell risiko, ikke en kollektiv. I ytterste konsekvens kan dette bety at de som virkelig trenger forsikring må betale en veldig høy pris, og like gjerne kan bli selvassurandører, mens ikke-røykende Birken-utøvere med perfekt BMI betaler mye mindre.

Og det er på denne bakgrunnen vi virkelig trenger en ny personvernforordning. Det nye regelverket inneholder fire hovedpilarer som i sum skal føre til en bedre databehandling enn det tilfelle er i dag:

  • Større plikter på virksomhetene
  • Større rettigheter til forbrukerne
  • Mulighet for å skrive ut store overtredelsesgebyr til de som bryter reglene
  • Bedre og mer forpliktende samarbeid mellom personvernmyndigheter i Europa.

Jeg vil i det følgende gå gjennom noen av de viktigste pliktene som norske virksomheter har etter det nye regelverket. Noen følger også av dagens lov, men plikten skjerpes, mens andre er helt nye.

Et utgangspunkt for all databehandling er at man har oversikt over hvilke data man har om kunder, innbyggere, borgere eller hva vi nå velger å kalle det. Gjennomfører vi for eksempel tilsyn mot norske kommuner, og det har vi gjort over flere titalls ganger de siste årene, opplever vi gjennomgående dårlig oversikt over hvilke data man har innomhus. Det som kjennetegner mange sektorer i dag, er at de har samlet inn data litt i blinde, for å kanskje få brukt for det senere. Det er ikke holdbart etter det nye regelverket. På vår hjemmeside har vi laget en mal for hvordan en slik oversikt kan se ut. Den skal for eksempel inneholde opplysninger hvorfor man behandler denne typen data (det kan for eksempel være epost-adresse, sykmeldinger, interesser og hobbyer), hva som er hjemmelen for å lagre opplysningene, hva de brukes til og hvor lenge de oppbevares.

En slik oversikt er en absolutt forutsetning for å etterleve de andre kravene i loven, som for eksempel utredning av personvernkonsekvenser. For ikke lenge siden fattet vi vedtak med overtredelsesgebyr mot ni helseforetak i Helse Sør-Øst og utkontrakteringen av datadriften til blant annet Bulgaria. Det gjaldt en kontrakt på fem milliarder kroner, i et område der det bor 2,8 millioner mennesker. Før man setter ut en slik kontrakt, må man gjøre en risikovurdering, man må altså analyse hva som går galt, og hva konsekvensen i så fall vil bli. Kun da har man oversikt over hvilke konsekvenser tjenesteutsettingen kan ha for sikkerhet og personvern til innbyggerne. I Helse Sør-Østs tilfelle måtte en slik konsekvensutredning omfatte om, og hvor en tjenesteutsetting skal skje. Dersom man vurderer å tjenesteutsette til Bulgaria, må man utrede konsekvensen av å velge Bulgaria. I denne saken mente vi dette ikke har vært tilfelle. Vi mente det ikke ble gjort en god nok risikovurdering før kontrakten ble inngått, og før Bulgaria ble valgt.

En skjerpet plikt etter forordningen, er nettopp å gjennomføre slike utredninger, på engelsk kalt data protection impact assessment. En viktig del av dette arbeidet er å identifisere risiko, og iverksette tiltak for å redusere risiko.

Dersom virksomhetene, etter en slik vurdering, står igjen med det som er definert som en høy risiko, er vi over i neste punkt, nemlig forhåndsdrøftelse med Datatilsynet. Dette innebærer at man skal drøfte saken med Datatilsynet.

Dersom Datatilsynet mener den planlagte behandlingen er i strid med regelverket, skal vi innen åtte uker gi skriftlige råd om hvordan den kan forbedres. Dette gjelder særlig der hvor den behandlingsansvarlige ikke i tilstrekkelig grad har identifisert eller redusert risikoen. Dersom behandlingen er kompleks, kan denne fristen forlenges med seks uker. Datatilsynet har også anledning til å forby behandlingen.

En annen nyvinning i det nye regelverket er innebygd personvern. Dette betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning, helt fra designfasen, til «ferdig produkt». Det kan være kryptering, automatisk sletting, Min side – løsninger, innsyn i egne personopplysninger osv.

Mange virksomheter må også oppnevnte personvernombud. Ombudet skal være personverneksperten og personvernressursen internt. Alle offentlige etater skal ha personvernombud, i tillegg virksomheter som blant annet håndterer store datamengder eller de har mye sensitive data.

Til slutt noen ord om avvik, som i mye større grad enn tidligere skal meldes til Datatilsynet. Unntak fra dette gjelder hvis det er usannsynlig at avviket medfører en risiko for enkeltpersoners rettigheter eller personvern.

Det stilles samtidig krav til at avviksmeldingen skal leveres til oss innen 72 timer. Dersom virksomheten ikke har full oversikt over avviket, kan de sende avviksmeldingen trinnvis. Virksomheten må ha dokumentasjon på alle avvik og hvilke tiltak som er iverksatt. Formålet er at vi skal kunne kontrollere at reglene om avviksvarsling følges.

Forordningen gir også regler for når de som er berørt av et brudd på datasikkerheten skal varsles. Slik varsling skal skje når det er sannsynlig at avviket vil medføre en høy risiko for personvernet til de som er berørt.

Det er spennende tider i vente, og jeg tror det nye regelverket vil få stor betydning, for virksomhetene, men ikke minst for de norske borgere og forbrukere, ...

Det er spennende tider i vente, og jeg tror det nye regelverket vil få stor betydning, for virksomhetene, men ikke minst for de norske borgere og forbrukere, for det er det dette egentlig handler om: Våre data.


Kommunerevisoren nr. 5/2018 - 73. årg.

Til toppen av siden

Topp