1 Kommunal- og moderniseringsdepartementets innledning
I 2018 trådte ny personopplysningslov, som gjennomfører EUs personvernforordning (forordning 2016/679) i norsk rett, i kraft. Arbeidet med, og ikrafttredelse av, det nye regelverket har ført til stor oppmerksomhet om personvernspørsmål de siste årene. Både de som behandler personopplysninger og de som er registrert, er betydelig mer opptatt av rettigheter og plikter på dette området enn for bare noen år siden. Dette merker både Datatilsynet, klageorganet Personvernnemnda og andre som arbeider med personvernspørsmål.
Det følger av utredningsinstruksen at det skal foretas utredning av ulike konsekvenser ved planlagte regelendringer eller tiltak. Blant annet skal det vurderes om planlagte tiltak reiser prinsipielle spørsmål. Personvernspørsmål kan nettopp være slike prinsipielle spørsmål som skal utredes i samsvar med kravene i utredningsinstruksen. Plikten til å vurdere personvernkonsekvenser fremgår også av personvernforordningen. Det følger av forordningen artikkel 35 og 36 at denne plikten retter seg både mot de behandlingsansvarlige som skal foreta konkrete behandlinger av personopplysninger, og mot de som utarbeider og vedtar regelverk. Det gjelder altså en utstrakt plikt til å utrede personvernkonsekvenser og iverksette tiltak som skal ivareta de registrertes personvern når nye regler, systemer og løsninger planlegges og tas i bruk. Personvernvurderinger skal med andre ord gis nødvendig oppmerksomhet i alt utredningsarbeid der slike vurderinger er relevante.
1.1 Personvernutfordringer i kommunal sektor
Kommunal sektor behandler store mengder personopplysninger om innbyggerne sine, fra de begynner i barnehagen til de blir gamle og trenger pleie- og omsorgstjenester. Mange av de tjenestene kommunene tilbyr innbyggerne forutsetter behandling av sensitive personopplysninger, som for eksempel helseopplysninger eller opplysninger om brukernes særskilte behov. Riktig behandling av slike opplysninger krever god oppmerksomhet om og forståelse for både personvern og informasjonssikkerhet.
Digitalisering av offentlig sektor skal gi en enklere hverdag for innbyggere, næringsliv og frivillig sektor gjennom bedre tjenester, mer effektiv ressursbruk og tilrettelegging for produktivitetsøkning i samfunnet (Én digital offentlig sektor, Digitaliseringsstrategi for offentlig sektor 2019–2025). For å effektivisere tjenestetilbudet og ressursbruken, digitaliseres derfor stadig flere tjenester. Vi ser det blant annet i skolesektoren (se nærmere omtale i punkt 2.1), der kommunene i økende grad tar i bruk digitale læremidler og digital kommunikasjon. I mange sammenhenger er dette bra, både for elever og lærere. Digitalisering kan, når den gjøres på riktig måte, gi bedre personvern og informasjonssikkerhet enn mange manuelle og papirbaserte løsninger. Men dette forutsetter, i skolen som på alle andre områder, kompetanse og ressurser til å håndtere spørsmålene som digitalisering reiser.
Når kommunene skal ta i bruk nye digitale løsninger, må de foreta en vurdering av den risikoen tjenesten eller løsningen kan medføre. Hvilke personopplysninger skal behandles, hvem er de registrerte, hvem skal ha tilgang til opplysningene, og hvordan er informasjonssikkerheten? Dette er noen av spørsmålene den behandlingsansvarlige må stille seg.
Datatilsynets tilsynsvirksomhet har over flere år vist at det er betydelige utfordringer knyttet til etterlevelse av personvernregelverket, inkludert reglene om informasjonssikkerhet, i mange norske kommuner. Dette gjelder ikke bare små kommuner med begrensede ressurser. Også i store kommuner skjer feil. Dette er dokumentert gjennom Datatilsynets behandling av flere store avvikssaker i skolene i store kommuner i rapporteringsperioden. I følge Datatilsynet mangler kommunene ofte bestillerkompetanse i den forstand at de ikke alltid selv tydelig kan definere sine behov, men i stor grad overlater til tilbyderne å påvirke hva som anskaffes. Videre mangler det ofte tilfredsstillende vurderinger av hvilke opplysninger som er nødvendige for hvilke formål, og hvem som bør ha tilgang til disse opplysningene. Sist, men ikke minst, er det i mange kommuner store utfordringer knyttet til ivaretakelse av informasjonssikkerheten generelt. God regeletterlevelse forutsetter både kompetanse og ressurser. Datatilsynet bidrar med både råd og veiledning for at kommunene bedre skal kunne ivareta sine oppgaver. Også Digitaliseringsdirektoratet skal målrette sin veiledningsvirksomhet på informasjonssikkerhetsområdet mot kommunene, og skal i denne rollen samarbeide tett med blant annet Datatilsynet. Men det er den enkelte kommune som bærer ansvaret for etterlevelse av regelverket.
Mange problemstillinger og spørsmål om personvern og informasjonssikkerhet er relevante for flere kommuner. Det én kommune opplever som utfordrende, er trolig en utfordring for flere. For mange kommuner vil det være god støtte i å samarbeide med andre kommuner; utveksle erfaringer og gi hverandre råd. Departementet støtter og oppmuntrer derfor til slikt samarbeid mellom kommuner for å løse ulike utfordringer knyttet til personvern, informasjonssikkerhet og digitalisering av tjenester.
1.2 Sosiale medier, elektroniske spor og digital markedsføring
En betydelig del av nordmenns liv leves digitalt. Mange av de tjenestene vi bruker daglig er tilgjengelige via nettet. Dette er enkelt, praktisk og rimelig både for tjenestetilbyder og bruker. De færreste er bevisste hvilke elektroniske spor som genereres når de bruker digitale tjenester.
De aller fleste digitale tjenester benytter informasjonskapsler. Disse kan blant annet følge brukerens bevegelser mellom ulike nettsider og tjenester. Dette gjøres for å forbedre brukeropplevelsen. Informasjonskapsler benyttes samtidig for å følge brukernes bevegelser på nettet i markedsføringsøyemed. Ved å analysere brukernes bevegelser, kan markedsførere skape en detaljert profil av brukeren. Med grunnlag i slike profiler, kan det gis tilpassede tilbud om varer og tjenester. Analyser og profiler av den enkelte kjøpes og selges i stor skala.
Vilkårene for bruk av personopplysninger skal gjøres tilgjengelige for brukerne. Men mange av disse vilkårene er tilnærmet umulige å forstå. De er lange, skrevet i et utilgjengelig språk, og ofte med mange henvisninger til andre dokumenter og vilkår som heller ikke er enkle å forstå. I januar 2020 la Forbrukerrådet frem en rapport (Out of control, 14. januar 2020) om hvordan blant annet bruk av mobiltelefoner etterlater store mengder opplysninger om brukernes interesser, vaner og preferanser, og hvordan disse opplysningene gjøres tilgjengelige for virksomheter som er helt fremmede for brukerne. Disse virksomhetene, som er en del av et stort økosystem for digital markedsføring, analyserer opplysningene og bygger profiler av brukerne for å følge dem over tid. Hver bruker tildeles en digital identitet som gjør det mulig å følge dem på tvers av både tjenester og plattformer. Bruken og delingen av personopplysninger foregår med grunnlag i omfattende brukeravtaler som de fleste brukere har svært begrensede forutsetninger for å forstå. Forbrukerrådet peker også på at deres undersøkelser tyder på at mye av den delingen og bruken av personopplysninger som finner sted i dette økosystemet, trolig er ulovlig etter det europeiske personvernregelverket. Rapporten tyder altså på at brukerne bes om å samtykke til behandling av personopplysninger som er i strid med gjeldende rett, uten at de har forutsetninger for å forstå dette selv. Dette kan skje blant annet fordi mange av de involverte aktørene ikke er etablert i EØS-området, og det derfor er utfordrende å håndheve europeisk personvernregulering overfor dem. Personvernmyndighetene i flere europeiske land, inkludert det norske Datatilsynet, arbeider nå med disse problemstillingene.
De siste årene har vi også sett at opplysninger som brukerne gir fra seg på sosiale medier brukes til helt andre formål, og på en helt annen måte, enn brukerne er forespeilet og har samtykket til. Analyser av personopplysninger benyttes til å målrette budskap, alt fra markedsføring til politiske budskap. Saken om Cambridge Analyticas bruk av opplysninger fra Facebook i ulike valgkampanjer er et eksempel på dette. Uten at brukerne verken har samtykket til bruken, eller forstår hvordan opplysninger om dem brukes, utarbeides det analyser og profiler i den hensikt å målrette budskap individuelt tilpasset den enkelte. På denne måten kan valg og preferanser påvirkes av ukjente og usynlige aktører som benytter teknologier som gjør det mulig å målrette budskap og påvirkning mot utvalgte enkeltpersoner. Å skille sant fra usant, eller juks fra ekte, er blitt en utfordring i dette landskapet. Over tid kan det utgjøre en trussel mot demokratiet når borgerne tar sine valg basert på analyser og antakelser om dem utført i det skjulte av ukjente og usynlige aktører.
Regjeringen er opptatt av at den enkelte skal settes i stand til å ivareta eget personvern best mulig. Dette forutsetter åpenhet og informasjon om hvordan personopplysninger samles inn og behandles. Brukervilkår må være transparente, og legge til rette for at forbrukerne kan ta reelle valg om behandling av sine personopplysninger. Mange tjenester, som i dag er basert på behandling av personopplysninger, kan tilbys basert på analyser av anonyme data. Profiler som benyttes i markedsføring kan bygges ut fra anonymiserte og aggregerte data. Slike tjenester, også utviklet av norske aktører, finnes allerede på markedet, og brukes av flere store virksomheter i deres markedsføring. Det er grunn til å tro at flere vil velge denne type personvernvennlig løsninger hvis de kjenner mulighetene og alternativene. Personvern kan på denne måten bli et konkurransefortrinn. Dette forutsetter imidlertid en vilje til å utvikle personvernvennlige løsninger, og se muligheter i stedet for begrensninger i slike løsninger.
De siste årene har personvernmyndighetene i Europa samarbeidet med både konkurranse- og forbrukermyndighetene om problemstillinger i grenseland mellom konkurranserett, forbrukerrett og personvern. Også norske myndigheter har deltatt i dette samarbeidet. Nasjonalt har også Datatilsynet og forbrukermyndighetene (Forbrukertilsynet og Forbrukerrådet) et godt samarbeid om problemstillinger i skjæringspunktet mellom personvern og forbrukervern. Dette gjelder særlig spørsmål om brukervilkår og samtykke til behandling av personopplysninger som vilkår for levering av tjenester. Departementet støtter dette samarbeidet, og mener det er viktig at ulike myndigheter arbeider sammen for å ivareta borgernes rettigheter best mulig. Samtidig er det viktig at det arbeides internasjonalt med denne type utfordringer, siden mange av de store aktørene er hjemmehørende i andre land enn Norge.
1.3 Kunstig intelligens og personvern
Den teknologiske utviklingen går raskt. Nye muligheter og nye løsninger dukker opp i raskt tempo. Kunstig intelligens tas stadig oftere i bruk for å løse krevende utfordringer. Mange løsninger som tar i bruk kunstig intelligens er basert på innsamling og bruk av store menger personopplysninger. Dette reiser mange og krevende personvernspørsmål, blant annet om dataminimering og kravet om at personopplysninger ikke skal benyttes til andre formål enn innsamlingsformålet.
Ansiktsgjenkjenningsteknologi er basert på registrering av ansiktsbiometri, og systemer og algoritmer for gjenkjenning av enkeltindivider. Teknologien kan brukes til mange ulike formål, også i kombinasjon med ulike former for kunstig intelligens. Teknologien kan blant annet brukes til å identifisere og autentisere en person for tilgang til avstengte områder eller innlogging i tekniske løsninger. Typiske eksempler er adgangskontroll eller opplåsing av mobiltelefoner basert på ansiktsgjenkjenning. Dette er også den type bruk av ansiktsbiometri som skjer ved avlesning av biometrisk passinformasjon når borgerne benytter selvbetjent grensekontroll. I disse situasjonene blir ansiktsbiomtrien til den fysiske personen som står i passkontrollen kontrollert mot biometrien i passet vedkommende presenterer. På Heathrow flyplass utenfor London pågår for tiden et forsøk med identitetskontroll basert på ansiktsgjenkjenningsteknologi som erstatning for fremvisning av fysiske identitetsdokumenter på ulike punkter for identitetskontroll av de reisende. Dette forsøket er ett av flere prosjekter i den regulatoriske sandkassen for personvern og kunstig intelligens hos det britiske datatilsynet. Forsøket er basert på samtykke fra de reisende. Ansiktsbiometri er dessuten tatt i bruk i forbindelse med godkjenning av varekjøp og betalingstransaksjoner i en rekke land. Slik bruk vil i de aller fleste tilfeller være basert på den registrertes samtykke, og den registrerte vil være innforstått med bruken hver gang den skjer.
Kunstig intelligens kan også brukes til gjenfinning og identifisering av personer man ikke allerede kjenner identiteten til. Slik bruk har vært omtalt i ulike sammenhenger, blant annet i forbindelse med appen ClearView AI. Tjenesten fungerer slik at man benytter kunstig intelligens til å søke etter ansiktsbiometri tilhørende en person i en database inneholdende bilder av identifiserte personer i håp om å få et treff som kan identifisere den eller de aktuelle personene.
Når kunstig intelligens benyttes for å lete etter identifiserte eller uidentifiserte personer i kameraopptak eller store databaser innholdende personbilder, vil dette i de fleste tilfeller skje uten at de registrerte er informert. Tilsvarende kan kunstig intelligens benyttes til å lete etter og identifisere mønstre eller avvik av ulike slag i alle store datamengder. På denne måten kan teknologien for eksempel brukes til å avsløre bank-, forsikrings- eller skattesvindel. Også i slike sammenhenger skjer behandlingen av personopplysninger normalt uten at de registrerte er kjent med bruken. Det er et grunnleggende prinsipp i personvernregelverket at de registrerte skal gjøres kjent med at det behandles opplysninger om dem og hva formålet med behandlingen er. Behandling av personopplysninger uten at de registrerte får informasjon om det, er derfor i de fleste sammenhenger problematisk. Det kan utfordre befolkningens tillit til både offentlige og private virksomheter som behandler personopplysninger dersom personopplysningene benyttes sammen med kunstig intelligens i ulike typer kontrollarbeid. Ofte vil dessuten slik bruk av personopplysninger kunne være i strid med det opprinnelige formålet med innsamling av opplysningene.
Bruk av kunstig intelligens reiser en rekke personvernspørsmål. Regelverket er detaljert og komplisert. Grensene for hva som er lov kan være vanskelige å trekke for den enkelte som skal utvikle systemer eller ta dem i bruk for å behandle personopplysninger. Det er likevel viktig å utforske de mulighetene som ligger i bruk av personopplysninger og ny teknologi. I regjeringens strategi for bruk av kunstig intelligens, lagt frem i januar 2020, legger regjeringen vekt på at utvikling og bruk av kunstig intelligens i Norge skal bygge på etiske prinsipper, og respektere menneskerettighetene og demokratiet. Bruk av regulatoriske sandkasser er et av virkemidlene som foreslås. Departementet sørger derfor for at Datatilsynet kan etablere en regulatorisk sandkasse for personvern og kunstig intelligens der teknologi og innovative løsninger kan utvikles og prøves ut innenfor trygge rammer.
1.4 Utvidelse av personopplysningslovens anvendelsesområde
Lov om behandling av personopplysninger 2018 erstattet lov om behandling av personopplysninger 2000. Den nye loven ble ikke gjort gjeldende for Svalbard. I stedet ble personopplysningsloven 2000 med forskrift videreført for Svalbard, jf. overgangsregler om behandling av personopplysninger § 1 bokstav d.
Justis- og beredskapsdepartementet sendte 10. september 2019 ut et høringsnotat hvor det bl.a. ble foreslått at personvernforordningen og personopplysningsloven 2018 med forskrift skal gjelde for Svalbard. Det ble samtidig foreslått at personvernforordningen artikkel 56 og kapittel VII ikke skal gjøres gjeldende for Svalbard. Videre ble det foreslått at Datatilsynet ved enkeltvedtak kan gi dispensasjon fra de enkelte bestemmelsene i personvernforordningen og personopplysningsloven dersom stedlige forhold på Svalbard gjør det nødvendig.
Den nevnte bestemmelsen i overgangsreglene om behandling av personopplysninger ble besluttet opphevet ved kgl.res. 12. mai 2020. Samme dag fastsatte Kommunal- og moderniseringsdepartementet en endring i forskrift om behandling av personopplysninger § 1, slik at personopplysningsloven 2018 også skal gjelde på Svalbard med de unntak som følger av forskriften. Regelendringen trer i kraft 1. juli 2020.