Datatilsynets høringssvar til Langtidsplan for forskning og høyere utdanning

Vi viser til høringsbrev av 21. mai 2021 om Innspill til neste langtidsplan for forskning og høyere utdanning.

Datatilsynets vurderinger

Det er vårt overordnede inntrykk at langtidsplanen tar innover seg mange viktige utviklingstrekk som vil prege tiden fremover, spesielt med tanke på hvordan digitaliseringen av samfunnet vil føre til et større press på personvernet. Datatilsynet vil fremheve at personopplysninger er byggesteinene i det nye data-drevne samfunnet, og at et godt ivaretatt personvern er essensielt for at befolkningen har tillit til fremtidens tjenester og teknologiske løsninger.

Personvern er en grunnleggende rettighet i Norge og i Europa. Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Dette prinsippet er blant annet forankret i Den europeiske menneskerettighetskonvensjonen (EMK) og i den norske grunnloven §102. Datatilsynet mener at det er nødvendig å sikre at vi har et sterkt personvern også i fremtiden. Dette fordrer at morgendagens løsninger og teknologier blir utformet på en måte som ivaretar personvernet, og at vi også har et kunnskapssystem som gir oss en forståelse for personvernets viktighet i et samfunn hvor både offentlige og private aktører tar i bruk stadig mer personlige opplysninger om oss. På bakgrunn av dette mener Datatilsynet at det er et behov for å forsterke innsatsen på personvern i forskning og høyere utdanning i løpet av årene som kommer.

Under vil vi svare på ett av spørsmålene fra departementet, om hvilke endringer i samfunnet som gir behov for endringer eller forsterket innsats innenfor forskning og høyere utdanning.

1. Hvilke endringer i samfunnet (eller i bestemte sektorer) gir behov for endringer eller forsterket innsats innenfor forskning og høyere utdanning i årene som kommer?

Vi vil gjerne fremheve tre viktige endringer i samfunnet som bør reflekteres sterkere i langtidsplanen.

1.1 Utviklingen av kunstig intelligens (KI) krever forskning og kompetanse om ansvarlig KI

Datasystemer som tar i bruk KI vil i økende grad prege våre hverdagsliv fremover. KI representerer store muligheter for både enkeltmennesket og samfunnet. Som skissert i den nasjonale strategien for kunstig intelligens så vil KI «bidra til nye og mer effektive forretningsmodeller i næringslivet og effektive og brukerrettede tjenester i offentlig sektor. Teknologien vil ikke bare gjøre det mulig å løse oppgaver stadig bedre, den vil også gjøre det mulig å løse oppgaver på helt nye måter.»

KI vil også skape nye utfordringer for personvernet ettersom teknologien ofte tar i bruk store mengder personopplysninger. Vi kommer til å se stadig flere juridiske, teknologiske og etiske problemstillinger hvor potensialet for betydelig samfunns­gevinst må veies opp mot grunnleggende personvern­hensyn. Som beskrevet i langtidsplanen, så vil KI føre til «økt behov for både IKT-spesialister og tverrfaglig IKT-kompetanse i næringslivet og for å løse samfunnsutfordringer knyttet til sikkerhet, helse og omsorg og innovasjon i offentlige sektor.»

For å sikre at KI tas i bruk på en ansvarlig og bærekraftig måte er det helt nødvendig at utdanningsløp i sektorer der denne teknologien utvikles og tas i bruk har den relevante kompetansen. Det handler om mer enn teknisk kompetanse. Det handler om en forståelse av hvordan teknologien tas i bruk og hvilken effekt den vil ha for enkeltindivider, grupper og samfunnet som helhet for å kunne bygge og implementere systemer som er rettferdige og transparente.

Det betyr i praksis at studenter innenfor for eksempel informasjons- og kommunikasjonsteknologi (IKT) har en grunnleggende forståelse for personvernprinsippene, rettighetene og frihetene norske borgere har, samt plikten om innebygd personvern for all teknologi som behandler personopplysninger. Fremtidens jurister må ha en grunnleggende forståelse for teknologien og hvilke muligheter og begrensninger som ligger i lovverket for å regulere og legge til rette bruken av denne. Også innen sektorer som for eksempel helse og samferdsel vil KI ha en viktig rolle, og det er avgjørende at høyere utdanning gir studentene kompetanse som legger til rette for at teknologien brukes på en effektiv og ansvarlig måte.

Datatilsynet mener at det er nødvendig at forskning på algoritmebaserte løsninger ledsages av forskning på hvordan en sikrer at algoritmene opptrer ansvarlig. For eksempel er det behov for forskning på løsninger som bruker mindre treningsdata, anonymiserings-teknikker og løsninger som forklarer hvordan komplekse modeller behandler data og hvordan de konkluderer. Andre interessante forskningsområder er hvordan legge til rette for revisjon av systemene, gjerne i regi av tredjeparter. Forskning kan også belyse hvor bruk av kunstig intelligens kan ha stor samfunnsmessig verdi, og på hvilke områder det kan være mer problematisk. Vi ser videre et behov for at det forskes på den samfunnsetiske siden av morgendagens datadrevne samfunn. Dette inkluderer diskriminering, konsekvenser av økt overvåking (for eksempel nedkjølingseffekten). Bevilgning av forskningsmidler på dette området vil ikke bare hjelpe virksomheter å etterleve lovkrav, men det vil kunne være en stor konkurransefordel for norsk næringsliv som en leverandør av ansvarlige KI-løsninger.

1.2 Økt risiko for brudd på personopplysningssikkerhet

Datatilsynet erfarer flere saker hvor brudd på personopplysningssikkerheten truer personvernet til borgere og skaper store problemer og kostnader for virksomheter. Alt tyder på at risiko for brudd på informasjonssikkerheten vil øke i takt med digitaliseringen av samfunnet, og kompetanse for hendelseshåndtering må inn i all relevant høyere utdanning. Dette er også et viktig område som Datatilsynet mener at langtidsplanen ikke har beskrevet i tilstrekkelig grad, og som vil være spesielt relevant for langtidsplanens prioriteringer innenfor offentlig sektor og samfunnssikkerhet.

Med økende digitalisering følger også et sterkt økende behov for kompetanse innen risiko og sårbarhetsvurderinger av informasjonssikkerhet og relatert til personvern. En risikovurdering omfatter kunnskap om verdivurderinger, trusselvurderinger inkludert de vanligste angrepsvektorer, og sårbarhetsvurderinger. Det må også gis grundig opplæring i tiltak som reduserer risiko.

Det er essensielt at fremtidens systemutviklere har god kompetanse innen personvern og informasjonssikkerhet, slik at nye systemer utvikles på en sikker måte fra grunnen av. Av den grunn bør programvareutvikling med innebygd personvern og innebygd sikkerhet være en del av den obligatoriske undervisningen. Datatilsynet har utarbeidet en veileder for programvareutvikling med innebygd personvern som er brukt og anerkjent både nasjonalt og internasjonalt. I den tidligere Langtidsplanen for forskning og høyere utdanning (2019-2028) lanserte regjeringen en intensjon om å bruke betydelige midler på utdanning og forskning innenfor teknologi, herunder IKT og digital sikkerhet. Forslaget til ny langtidsplan virker ikke å ha like konkrete tiltak knyttet til å løfte kompetanse om informasjonssikkerhet. Datatilsynet mener det er nødvendig å fortsette innsatsen på informasjonssikkerhet og anbefaler at dette er et område som prioriteres videre i arbeidet med langtidsplanen.

1.3 Innebygd personvern vil være et fortrinn i fremtidens løsninger og teknologier

Ifølge Stortingsmeldingen Data som ressurs: Datadrevet økonomi og innovasjon forventes fremveksten av dataøkonomien «å bli en viktig driver for økonomisk vekst».

I dagens samfunn er de store amerikanske teknologiselskapene premissgivere for dataøkonomien på mange områder. Amerikanske selskaper samler allerede inn store mengder data om oss fra jobb, skole og fritid. Den samlede verdien av teknologigiganter som Apple, Amazon, Alphabet, Facebook og Microsoft har steget gjennom pandemien, men møter nå motbør fra flere hold. Europeiske lovgivere er i økende grad skeptiske til aktivitetene fra disse aktørene. I desember 2020 lanserte EU-kommisjonen forslag til regulering av digitale tjenester i det indre marked. Digital Services Act og Digital Markets Act er et direkte svar på forretningsmodellene til de store amerikanske teknologivirksomhetene. Kommisjonens formål med forslagene var å skape et tryggere internett med bedre tjenester til brukerne, og å skape en bedre konkurransesituasjon for virksomheter som leverer tjenester til europeere.

Dette tilsier at det i fremtiden vil være et marked for løsninger og teknologier som etterlever europeisk lovgivning og grunnleggende personvernrettigheter. For å konkurrere i dette markedet, må programmerere og utviklere ha kompetanse til å møte kravene i personvernforordningen, spesielt med tanke på artikkel 25 om innebygd personvern. Innebygd personvern fokuserer på forpliktelsene til å bygge inn mekanismer for ivaretagelse av personvern og personvern som standardinnstilling i løsninger eller tjenester som behandler personopplysninger. Datatilsynet vil derfor oppfordre departementet å forsterke satsningen på innebygd personvern innenfor all høyere IKT-utdanning.

Datatilsynet stiller gjerne til møte med departementet for å komme med utfyllende kommentarer til punktene over ved behov.

Med vennlig hilsen

Veronica Jarnskjold Buer

avdelingsdirektør, teknologi

Magnus Mühlbradt

rådgiver

Vår referanse 21/02035-2