NOU 2009: 1

Individ og integritet— Personvern i det digitale samfunnet

Til innholdsfortegnelse

Del 3
Det teknologiske landskapet

8 Innledning

I en dissens til dommen Olmstead mot USA (277 U.S. s. 438, 1928), setter dommer Louis Brandeis (1856-1941) søkelyset på den rollen som teknologi og vitenskapelige fremskritt spiller i forhold til å få tilgang til informasjon som den enkelte ønsker å holde skjult:

«Discovery and invention have made it possible for the government, by means far more effective than stretching upon the rack to obtain disclosure in court of what is whispered in the closet. The progress of science in furnishing the government with means of espionage is not likely to stop with wiretapping. Ways may some day be developed by which the government, without removing papers from secret drawers, can reproduce them in court, and by which it will be enabled to expose to a jury the most intimate occurrences of the home.»

I Eit informasjonssamfunn for alle (St.meld. nr. 17, 2006-2007, s. 137) peker FAD på at tilgang til slik teknologi ikke lenger er forbeholdt staten og mektige organisasjoner, men i dag også er tilgjengelig for privatpersoner:

«Samtidig som det skjer ein auka bruk av personopplysningar innan politi- og påtalemakt, offentleg forvaltning og tenesteyting, kommersiell verksemd mv., er ein del nye teknologiar òg tilgjengelege for privatpersonar som kan bruke desse til å overvake eller spore andres daglegliv. Allmenta sin tilgang til Internett, mobiltelefoni med kamera mv. gjer at personvernet ikkje berre er truga av mektige organisasjonar, men også av «naboen».»

Ny teknologi for å samle inn og analysere personlige opplysninger dukker stadig opp. Mange av disse nye teknologiene for overvåkning, sporing og analyse favner videre, og pløyer dypere, enn tidligere, og overskrider de naturlige barrierene (f.eks. vegger, hud, mørke, tid og rom), som tidligere utgjorde hindre mot overvåkning og sporing. Disse teknologiene forbedres og raffineres dessuten hele tiden, både kvantitativt og kvalitativt. Kvantitative fremskritt muliggjør mer overvåkning av flere individer. Kvalitative fremskritt muliggjør en overvåkning som både er mer usynlig og mer effektiv enn tidligere.

Samtidig arbeides det med å utvikle teknologi som fremmer personvernet. Dette kan for eksempel være teknologi som forsøker å verne informasjon mot uønsket innsyn, eller teknologi som ved å skape «avstand» mellom en person og opplysninger om personen, gjør personopplysningene mindre identifiserbare.

En viktig drivkraft bak denne utviklingen, som nå har pågått i mer enn førti år, er en stadig mer omfattende digitalisering av informasjon, sammen med økende og stadig billigere beregningskapasitet.

Digitaliseringen omfatter alle mulig slags generelle personopplysninger (f.eks. hvem vi er, hva vi gjør, hvor vi befinner oss), og mer spesifikke personopplysninger om vår genetiske sammensetning, hentet fra molekylærbiologien. Personvernet utfordres når slike digitale data samles inn og gjøres tilgjengelig i databaser for gjenfinning, søking, sekvensering og strategisk informasjonsanalyse.

Tidligere ble vårt privatliv i en viss grad beskyttet av teknologiske begrensninger. Det var rett og slett ikke praktisk og økonomisk mulig å lage genetiske profiler over store deler av befolkningen, eller å samle inn enorme mengde personopplysninger om hver enkelt av oss og strukturere disse opplysningene på en meningsfylt måte.

Disse begrensningene er i ferd med å forsvinne. Det er særlig teknologiske fremskritt på områdene IKT og bioinformatikk som gjør det teknisk og økonomisk mulig for staten, bedrifter, og endog for privatpersoner å overvåke, spore, lagre og analysere stadig mer elektronisk kommunikasjon og stadig flere elektroniske spor og biologiske spor.

Forbedringene innenfor molekylærbiologi har blant annet gjort oss langt mer sporbare i den fysiske verden, fordi det er nesten umulig å oppholde seg et sted uten å legge igjen DNA.

Når det gjelder vår adferd og våre bevegelser i kyberrommet, innebærer vår utstrakte og entusiastiske bruk av digitale tjenester at vi også der er sporbare.

Til sammen innebærer altså det kjølvannet av biologiske og elektroniske spor som vi etterlater oss, sammen med tilgangen på billig beregningskraft, at det er mulig for de som måtte ha interesse av dette å få tilgang på langt mer data om hver enkelt av oss og våre bevegelser, enn noen gang tidligere. Og fordi et av teknologiutviklingens bidrag hele tiden er å øke kapasiteten og redusere kostnadene, er presset fra den teknologiske utviklingen på personvernet i dag større enn noen sinne.

Eksempler på denne typen press ser vi blant annet i form av statlige tiltak som EUs datalagringsdirektiv, det britisk-amerikanske ECHELON-systemet (Bye og Sjue 2008, ss. 234-242) og den svenske FRA-loven (Hannemyr 2008a), samt gjennom presset på å få opprettet stadig flere omfattende registersystemer (nasjonalt DNA-register, pasientregister, elevregister) med innsamling og langtidslagring av stadig flere personopplysninger og biologiske opplysninger.

Vi ser det også i privat sektor, blant annet i form av teknologier som for eksempel lojalitetskort (bonuskort), informasjonskapsler («cookies») og RFID-brikker. En tydelig trend de siste årene er «gratis» tjenester der forretningsmodellen i realiteten er at personopplysninger anvendes som bytte- og betalingsmiddel (eksempel: Google, Facebook).

Til sist ser vi det helt nede på det personlige plan. Internettsøk («googling»), der man kan taste inn navnet på en slektning, kollega, arbeidssøker eller nabo og øyeblikkelig få tilgang til alle de nettsider der vedkommende er omtalt eller selv har ytret seg, er bare ett av de moderne fenomenene som har økt eksponeringen til de fleste av oss dramatisk. I tillegg selges det nå avansert teknologi som gjør det mulig for blant annet sjalu ektefeller og bekymrede foreldre å overvåke makers og barns PC-er og mobiltelefoner, og å overvåke bevegelsene til de som bærer slikt utstyr med seg.

Digitaliseringen og rikelig tilgang på rimelig beregningskapasitet er imidlertid en nødvendig forutsetning for å kunne ta i bruk systemer for identitetsforvalting. Det samme gjelder for muligheten til å ta i bruk sterk kryptografi, som et mottrekk mot signalovervåkning.

Teknologiens inngrep i forhold som angår personvernet er svært omfattende. En uttømmende fremstilling av dette har det ikke vært realistisk å få til innenfor de rammene kommisjonen har hatt for sitt arbeide – kanskje ikke engang realistisk uansett rammer, fordi man på dette området skyter på et bevegelig mål.

Det man finner i denne delen av rapporten, er noen eksempler på hvordan personvernet utfordres, påvirkes, og eventuelt fremmes av den teknologiske utviklingen og av vitenskapelige fremskritt.

De teknologiske feltene som primært kommer til å gjøre inngrep i personvernet er molekylærbiologi og IKT (informasjons- og kommunikasjonsteknologi). Samtidig kommer fremskritt på disse fagfeltene til å resultere i forhold som har en rekke positive ringvirkninger, inklusive:

  • økt effektivitet og lavere kostnader i produkter og tjenester, særlig når det gjelder transport og lagring av data,

  • bedre sikkerhet i forretningsliv og offentlig virksomhet,

  • bedre forbygging og etterforskning av kriminalitet og terror,

  • genterapi, bedre helsetjenester,

  • mange andre nye produkter og tjenester.

Personvernhensynet blir altså i økende grad gjenstand for en avveining der ulike hensyn settes opp mot hverandre. Man kan frykte at hensynet til personvernet blir vanskelig å ivareta fordi de samfunnsmessige positive effektene av å bruke ny teknologi, blir vektlagt som et tungt hensyn.

Personvernkommisjonen mener derfor at det er viktig å slå fast at personvernet er en menneskerettighet som ikke kan relativiseres.

For å sikre personverninteressene mener Personvernkommisjonen at når ny teknologi introduseres i samfunnet, bør som hovedregel teknologiens innvirkning på personvernet utredes på lik linje med teknologiens innvirkning på miljø og økonomi. For teknologier som forholder seg til biologiske og elektroniske spor, er det særlig grunn til varsomhet, og det må legges klare føringer for hvordan og i hvilken utstrekning slike spor kan lagres, behandles og slettes.

Tidligere har det ofte vært kostnadsmessige skranker for hvor mye data som kan samles inn, behandles, transporteres og lagres. Disse økonomiske begrensningene er nå i ferd med å forsvinne. I mange tilfeller er det rimeligere for en virksomhet å lagre alt den samler inn av data permanent, fremfor å bruke ressurser på å sortere ut det som bør slettes. Vi er på vei inn i en verden der ingen informasjon forsvinner «av seg selv». Dette er i seg selv et problem, og i tillegg fører det til dårligere datakvalitet ved at utdatert informasjon og feilinformasjon overlever i ymse registre. Derfor må samfunnet legge føringer for hva som skal lagres og hva som skal slettes.

Vi vil være vitne til en økning i utveksling av elektronisk informasjon mellom organisasjoner og mellom enkeltpersoner i de kommende årene. Utviklingen innen massemedia, e-handel og e-forvaltning vil være de viktigste årsakene til dette. Dette vil virke effektiviserende på en rekke områder, samtidig som det representerer nye muligheter og nye arenaer for misbruk. Behovet for å beskytte dataene som strømmer i nettverkene vil øke tilsvarende. Dette vil avstedkomme videre utvikling av teknologier for kryptering, utarbeidelse av spesielle sikkerhetssertifikater og innføring av elektroniske signaturer.

Utnyttelse av IKT betyr en effektiviseringsmulighet i samfunnet. Teknologien er imidlertid ikke så robust at den ikke kan settes ut av spill. Kommunikasjonsenheter kan forstyrres. Databaser kan stjeles eller ødelegges. Personopplysninger kan komme på avveie.

Den allmenne bruken av IKT som er vanlig i vårt samfunn, skaper en rekke utfordringer i forhold til personvernet som knytter seg til bruken av personlige datamaskiner og tilhørende programvare. Dette omfatter blant annet:

  • Skadelig programvare ( malware ) på den enkeltes personlige datamaskin som avlytter maskinen ( spyware ), eller som utfører kompromitterende handlinger (for eksempel planter falske bevis), eller som på andre måter krenker personvernet. Slik skadelig programvare kan bli plassert på datamaskinen via sikkerhetshull i operativsystemet eller nettverksforbindelsen, via e-post-vedlegg, eller automatisk via et nettsted brukeren besøker.

  • Datainnbrudd og datasnoking ( hacking ). Dette omfatter både bruk av teknologi og bruk av sosial manipulering (dvs. bruk av sosiale metoder for urettmessig å få tilgang til blant annet adgangskoder til datamaskiner og datasystemer).

  • Identitetstyveri (ofte formålet med malware og hacking ).

  • Cookies (har også legitime formål, men kan også utnyttes til sporing og ulovlig informasjonsinnsamling, m.m.) og webbugs (har ingen legitime formål).

  • Facebook/Google og andre vanlig brukte brukerprogrammer som «bytter» personopplysninger mot tjenester.

  • Systematisk og ulovlig innsamling av navn og e-postadresser for markedsføringsformål (dvs. for utsendelse av såkalt «spam»).

  • Software og utstyr for å samle inn informasjon og trekke ut etterspurte data (sjekke ansatte, bedrifter eller privatpersoner).

  • Distribusjon av krenkende informasjon og bilder på Internett av tredjepart.

9 Teknologiske trender som utfordrer personvernet

Molekylærbiologi og informasjons- og kommunikasjonsteknologi kommer sannsynligvis til å spille en viktig rolle som drivkraft i utviklingen av samfunnet. Innenfor disse områdene vil vi i årene som kommer oppleve at en rekke nye tjenester og produkter utvikles og anvendes på ulike områder i samfunnet.

Det er imidlertid viktig å være klar over at verken retningen eller hastigheten på denne drivkraften alene bestemmes av vår evne til nyskapning. Det er ikke slik at teknologien vil bli benyttet til alt det er mulig å bruke teknologien til. Som handlende og politiske mennesker har vi mulighet til å påvirke hvordan teknologien blir brukt. Det er ikke alltid like lett å overskue hvilke krefter som virker inn på vår vilje eller evne til å gjøre bruk av teknologi, men sammen med vår innovasjonsevne, vil kulturelle, politiske, økonomiske og markedsmessige faktorer påvirke den teknologiske utviklingen og hvordan vi kommer til å ta teknologien i bruk.

I dette kapittelet tar vi for oss noen av de sentrale teknologiene som er under utvikling. Vi vil imidlertid understreke at de teknologiske trendene vi presenterer har mange andre aspekter knyttet til seg enn de vi nevner. Vår fremstilling avgrenser seg til de aspektene ved disse teknologiene og trendene som utfordrer personvernet. Dette betyr ikke nødvendigvis at disse teknologiene og trendene representerer en særlig trussel mot personvernet, eller at de utfordringene vi peker på ikke vil la seg møte på en måte som ivaretar personvernet i tilstrekkelig grad. Vi har i fremstillingen nedenfor unnlatt å drøfte «for» eller «i mot» disse teknologiene, eller å si noe om sannsynligheten for at de utfordringene i forhold til personvernet vi peker på, vil materialisere seg.

9.1 Nanoteknologi

Et av de områdene der det sannsynligvis kommer til å skje mye på teknologisiden i årene som kommer, er såkalt «nanoteknologi». Nanoteknologi dreier seg om å kontrollere fysisk materie i svært liten skala (opp til ca. 100 nanometer). Det vil si fysisk materie på atom- eller molekylnivå.

Det spesielle med nanoteknologi er at den gir mulighet for integrasjon av informasjonsteknologi, molekylærbiologi og medisin til nye anvendelser. Av praktiske anvendelser tenker man seg klær som tilpasser seg miljøet, byggematerialer og nanomaskiner med regelbaserte sensorer, og ikke minst sensorer og maskiner som bygges inn i kroppen.

Slike sensorer/maskiner kan også settes opp for å utføre regelbaserte oppgaver, som automatisk registrering av for eksempel alkoholinntak hos yrkessjåfører, eller automatisk medisinering av folk under tvungent psykisk helsevern.

Nanoteknologien danner på mange måter en bro mellom den fysiske verden og den virtuelle verden, slik at disse går mer og mer over i hverandre.

Nanoteknologien har et enormt potensiale, men fordi den åpner opp for sensor- og kontrollteknologi på helt nye områder, inklusive inne i menneskekroppen, gir den også nye utfordringer for personvernet.

9.2 Kommunikasjonsteknologi

Utviklingen innen kommunikasjonsteknologi de siste årene har vært formidabel. Denne utviklingen vil fortsette, basert på videre utbygging og oppgradering av nasjonal telekommunikasjonsinfrastruktur og videre utbygging av Internett på faste linjer og trådløse nett.

Utbredelsen av slike nett, det område de dekker, og deres kapasitet og hastighet, vil øke. Både bruk av fiberbaserte nett, bakkenære trådløse samband og satellitt-teknologi vil øke. Flere deler av verden vil få tilgang til Internett. Dette gir nye muligheter for internasjonal utveksling av informasjon med de fordeler og ulemper som fraværet av nasjonale grenser for informasjonsutveksling innebærer. Globaliseringen og samarbeidet over landegrensene fører til både økt båndbredde på optiske fibre, radio- og satellittbasert elektronisk kommunikasjon, og følgelig vil stadig flere, fra geografisk spredte familiegrupper til multinasjonale firmaer og verdensomspennende organisasjoner ta dette i bruk til intern kommunikasjon

I forholdet til brukerne har vi fått en utvikling med overgang fra bruk av faste linjer (kobbertråd og optiske fiberkabler) til trådløse samband (radiolinjer) og fra bruk av fasttelefon til bruk av IP-telefon og mulitimediatjenester. De trådløse nettene vil dominere hva angår offentlig aksess og aksess internt i bedrifters kontorlandskap.

Bruk av digital teknologi på alle typer media gjør det mulig å håndtere data, lyd og bilder integrert i produkter, i kommunikasjonsnettet og i datamaskinene. Dette har medført at tele-, data- og mediebransjene smelter sammen og visker ut grensene mellom kringkasting (radio og fjernsyn), tele- og informasjonsteknologi. De teknologiske løsningene for å gjøre alt digitalt, gjøres tilgjengelig for et massemarked, drevet fram av et politisk og kommersielt ønske om å fase ut kostbare analoge tjenester.

Globalisering av informasjonsutveksling og konvergens mellom ulike media, vil innebære en rekke utfordringer som vi vil drøfte nærmere i kapittel 13, om media og personvern.

9.3 Integrerte dataprosessorer i produkter

Den sentrale enheten i datamaskiner er prosessoren (CPU). Dette er enheten som kan programmeres og dermed settes i stand til å utføre alle typer logiske og matematiske operasjoner. Prosessoren har gjennomgått en rivende utvikling mht. pris/ytelse. Teknologiutviklingen har over flere år gitt en dobling av ytelse/pris hvert annet år. Dette betyr at etter om lag 15 år med en slik utviklingstakt, vil vi kunne ha tilgjengelig prosessorer med hundre ganger den ytelsen som tilbys i dagens marked, til samme pris som i dag.

Bare en beskjeden del av prosessorene som produseres, finner veien inn i det vi tradisjonelt betegner som en datamaskin. Størstedelen inngår som styringsenheter i alt fra leketøy og husholdningsartikler til biler og andre avanserte tekniske industriprodukter. I årene som kommer vil stadig flere produkter ha innebygde elektroniske komponenter med prosessorkraft og mulighet for datalagring (for analyse, logging og for sporbarhet).

Slike integrerterte dataprosessorer vil i økende grad bli tatt i bruk til registrering av data. Dette er noe man ser innen fremtidens transportmidler. Her vil det finnes mange komponenter som kan analysere, aksjonere, lagre og sende elektronisk informasjon. Vi kan oppleve at det meste vi kjøper og bruker av gjenstander i fremtiden vil inneholde en elektronisk brikke som registrerer ulike aspekter ved vår bruk av gjenstanden, og som det vil være mulig å avlese ved service, reklamasjoner, tvist med (skatte)myndighetene og lignende. Selskapet som har laget gjenstanden kan også tenkes å være interessert i slik informasjon for å drive med markedsanalyse, og for å skaffe seg mer kunnskap om sine kunder

Det at dataprosessorer og kommunikasjonsteknologi (jf. forrige punkt) snart vil finnes «overalt» kan føre til at de ulike produktene som har innebygd prosessorkraft vil begynne å «ringe hjem» og rapportere om hva brukeren foretar seg med produktet (Garfinkel 2000).

Antikollisjonssystemer i bilene er allerede innført og sørger for å redusere antall ulykker. Det finnes systemer (for eksempel EUs eCall ) som automatisk kan registrere hvor ulykken har skjedd ved hjelp av det installerte satellittnavigasjonssystemet (GPS), ringer politi og verksted og eventuelt tilkaller ambulanse, registrerer skadeomfanget etc. Et slikt system kan også sørge for automatisk innkreving av veiavgifter og bompenger (uten bom). Og det kan produsere en logg som viser hvor bilen til enhver tid har befunnet seg og kan for eksempel stille denne informasjonen til rådighet for politiet, arbeidsgiver, ektefelle eller skattevesenet.

Det er også mulig, dersom man ønsker det, å plassere sensorer langs veien for å kommunisere med bilens styringssystemer, som sørger for at bilen ikke kjører fortere enn tillatte fartsgrense. Det store antallet bilulykker som skyldes at sjåføren er trøtt eller påvirket av rusmidler, gjør at kjøretøy i fremtiden kan bli utstyrt med et system som tvinger en trett eller beruset sjåfør til å parkere bilen ved at den nekter å starte.

Man kan komme til å se utviklingen bl.a. i bruk i avanserte alarmsystemer som automatisk varsler i spesielle ulykkestilfeller. Eller man kan se det i systemer for geografiske lokalisering, for eksempel ved at det vil bli vanlig å bære med seg en GPS-mottaker, gjerne integrert med mobiltelefonen eller armbåndsuret. I USA foreligger det forslag om å gjøre en GPS-mottaker til en obligatorisk komponent i en mobiltelefon, slik at det kan logges hvorfra oppringninger gjøres. Begrunnelsen for dette er bærerens sikkerhet. Et trykk på alarmknappen er tilstrekkelig for å varsle om posisjon, eller den kan programmeres til periodisk å sende meldinger automatisk som gir posisjon, samt data fra en sensor for kroppstemperatur, hjertefrekvens, etc.

I USA har senator Ernest «Fritz» Hollings fra South Carolina foreslått en egen lov ( Security Systems Standards and Certification Act) som vil gjøre en slik dataprosessor obligatorisk i all konsumentelektronikk som produseres eller omsettes i USA (Hannemyr 2005, s. 113). Så langt uten å få gjennomslag for dette.

9.4 Radiofrekvensidentifikasjon

Radiofrekvensidentifikasjon (RFID) er en metode for å lagre og hente data ved hjelp av små elektroniske enheter som kan avleses i form av radiosignaler. En RFID-brikke er svært rimelig å fremstille. Den kan identifiseres og spores trådløst.

RFID-brikker kan de nærmeste årene få en rekke nye anvendelsesområder ved at de blir en integrert del av de fleste produkter vi kjøper, enten det er hvitevarer, biler, offentlig transport, elektronisk utstyr, mat, sko, klær, helse, ID-kort, verdipapirer eller som implantater på dyr og mennesker.

Et argument for bruken av RFID er at man, ved å gjøre produkter og mennesker identifiserbare og sporbare, oppnår bedre livskvalitet og større effektivitet for næringsliv, offentlig virksomhet og kundebehandling. Et argument mot slik bruk er at brikkene legger til rette for kontinuerlig identifisering og sporing, og at dette truer privatlivet og personvernet.

For eksempel selger skoprodusenten Nike et produkt ( Nike+iPod Sport Kit ) der en slik brikke er plassert i en joggesko. Formålet med brikken er å gi brukeren økt helse og velvære ved å støtte opp om personlige treningsaktiviteter. Brikken sender ut radiosignaler som fanges opp av en medfølgende bærbar elektronisk enhet ( iPod ). Denne analyserer signalene, og gir på grunnlag av disse brukeren informasjon om løpt distanse, hastighet, treningsintensitet og lignende. Man kan imidlertid også tenke seg at brikken i skoen avleses trådløst av andre. RFID-brikken kan altså også benyttes til å spore den personen som bruker slike sko.

I USA er det søkt om patent (EP20070252636) på et system for å sikre at ansatte i restauranter og helseinstitusjoner ivaretar sin håndhygiene ved at en RFID-brikke den ansatte bærer på seg sporer den ansattes bevegelser. Systemet kan registrere når den ansatte benytter toalettet, når han eller hun vasker hendene, og når den ansatte arbeider med mat, steller pasienter, etc. Systemet er derfor i stand til å oppdage det dersom den ansatte etter et toalettbesøk, for eksempel, rører mat uten først å ha vasket hendene.

Nedenfor gis skjematisk eksempler på flere bruksområder:

  • En RFID-brikke kan åpne låser i hus og bygninger, fungere som elektronisk billett på t-bane, tog og buss, eller foreta transaksjoner i butikker på bensinstasjonen etc.

  • Fremtidens klær kan ha innebygde RFID-brikker som også virker etter en vask i vaskemaskin. De kan spore barn på skoler og i barnehager. I USA og Storbritannia bruker enkelte skoler slike brikker i klærne for å gi informasjon om når barna kommer/forlater skolen og tar skolebussen.

  • RFID-brikker bygges inn i alle biler for å kunne finne bilen hvis den blir stjålet. Det er mulig å overvåke bilens geografiske posisjon døgnet rundt, hvilket også kan gi innsikt i andre forhold som f.eks. fysisk tilstedeværelse i jobb og familierelasjoner etc.

  • Ved bestilling av reise kan du motta en elektronisk billett vedlagt en RFID-brikke som festes på bagasjen. Brikken gir flyselskapet full kontroll med din bagasje i forhold til reisested.

  • Elektroniske RFID-brikker kan integreres i verdipapirer og fakturaer, slik at regninger og transaksjoner kan spores i forhold til bruk. Finansinstitusjoner kan telle penger på en raskere og mer effektiv måte, og illegale og legale transaksjoner vha. kontanter kan spores.

  • Offentlig trafikkontroll kan gjennomføres ved at RFID-brikker festes på biler. Langs veien kan det settes opp skannere som kontrollerer fart, avstand og bevegelser. Basert på denne informasjonen ilegges bøter, bompengeavgifter og andre avgifter som sendes til din postadresse eller automatisk belastes din konto.

  • Butikkene kan feste RFID-brikker på alle typer varer. Kundene kan ta de varene de ønsker og spasere ut av butikken. Betalingen skjer automatisk ved belastning av kundens konto. Samtidig blir butikkens varebeholdning automatisk oppdatert. En slik løsning gir imidlertid butikken, om den ønsker det, full oversikt over ditt forbruksmønster.

  • En RFID-brikke kan plasseres som implantat under huden. Den kan lagre medisinske data, gi personlig identitet for både dyr og mennesker, kontrollere tilgang til fysiske områder og spores ved forsvinning eller kidnapping.

En av de mest utbredte standardene for RFID-brikker (ISO 14443), gjør at brikken kan identifiseres opp til ca. 11 cm. Men det finnes også standarder som tillater identifisering på langt større avstander, opp til flere hundre meter.

Både pass og nasjonale ID-kort (i de land som har slike) er i ferd med å bli basert på RFID-teknologi. Disse inneholder gjerne elektronisk signatur, navn, adresse og foto, samt biometriske data som fingeravtrykk eller iris-data. Hensikten er å ha et kort eller pass som gir entydig identifisering av et individ. Et slik ID-kort kan tilrettelegges for ymse gjøremål, inkludert tilgang til tjenester fra offentlig sektor og næringslivet.

Motstanderne av slike pass og ID-kort mener dataene på kortet og de databaser som gir aksess fra kortet, ikke er beskyttet godt nok for misbruk og manipulering. Det er påvist at det er mulig å kopiere et slikt kort trådløst mens det befinner seg i eierens lomme (Daily Mail 2007).

Det finnes i dag elektroniske RFID-brikker på størrelse med et riskorn. Dyr kan utstyres med slike brikker ved at de opereres inn under huden (f.eks. i øret), og denne praksisen er forholdsvis utbredt. Det samme kan selvsagt også gjøres med mennesker.

Selskapet Verichip har siden 2007 eksperimentert med RFID-implantater i et system laget for å overvåke Alzheimer-pasienter (RFIDjournal 2007). En slik brikke kan også opereres inn i kroppen på andre personer man ønsker å følge bevegelsesmønsteret til. Ved å utstyre dem med slike brikker, kan man følge dem inne i bygninger, og eventuelt også utenfor, dersom man bygger ut sensornettverket. Selskapet CityWatcher i USA benytter allerede slike implantater til å spore hvor ansatte befinner seg (WorldNetDaily.com 2006).

Ekteparet Michael ved University of Wollongong har foreslått begrepet «überveillance» som betegnelse på en sensorbasert overvåkning som er konstant, og som invaderer menneskekroppen (Michael og Michael 2007):

“Überveillance is an above and beyond , an exaggerated , an omnipresent 24/7 electronic surveillance. It is a surveillance that is not only “always on» but “always with you” (it is ubiquitous ) because the technology that facilitates it, in its ultimate implementation, is embedded within the human body. The problem with this kind of bodily invasive surveillance is that omnipresence in the ‘material’ world will not always equate with omniscience , hence the real concern for misinformation, misinterpretation, and information manipulation.”

9.5 Elektroniske brikker og kort

Elektroniske brikker og kort har vunnet innpass på en rekke områder. Dette er produkter som kan inneholde en identifikasjon og mindre mengder med assosierte data. Det kan også inneholde en liten dataprosessor som kan være i stand til å gjøre enkle beregninger (f.eks. smart-kort). Slike brikker og kort etterlater seg elektronisk spor i én eller flere databaser hver gang de blir benyttet. Dette er nyttig informasjon for forretningsvirksomhet, men dataene kan også være av interesse for politiet i forbindelse med etterforskning av kriminalsaker generelt. Sporene identifiserer brukeren, tidspunktet for bruken og identiteten til eventuelle mottakere av meldingen eller transaksjonen.

De fleste har ett eller flere slike kort i sin lommebok. Bankene og kredittselskapene var tidlig ute. De har senere blitt fulgt opp av bedrifter og handelskjeder som benytter kortet som et elektronisk identitets- og kredittkort (oljeselskaper, butikk-kjeder, hotellkjeder, flyselskaper, etc.).

9.6 Sensorteknologi

Det foregår en betydelig utvikling innenfor området sensorteknologi. Dette innbefatter utstyr som kan registrere og formidle måledata som enkeltmålinger eller kontinuerlige målinger. Produkter på dette området kjenner vi fra f.eks. radar- og laser-utstyr for måling av hastigheter, elektronisk utstyr for måling av alkoholkonsentrasjon, etc.

Fotokvaliteten har økt og prisen for bildekvalitet i et kamera har falt dramatisk de siste årene. De beste kameraene kan plukke ut en spesiell klokke eller en pakke sigaretter på en avstand av 500 meter med fulle farger og i mørke (ved å være følsomme for lys i det infrarøde området). Moderne kameraer er digitale, noe som betyr at bildene kan behandles med digital bildeforbedringsteknologi både i sanntid og ved senere analyse.

Avansert programvare på sensorer og digitale kameraer er en nyvinning som gjør det mulig bl.a. å oppdage tidlige tegn på røyk og/eller varmeutvikling før en brann blir utviklet, eller kan følge et bevegelig objekt ved at teknologien registrerer endringer i bildet som utløser alarm. En angitt person eller et bevegelig objekt (for eksempel en bil) som fanges opp av et kamera, kan overvåkes selv gjennom en menneskemengde eller i en kjørebane. Teknologien sørger for at det automatisk kobles over fra et kamera til et annet i et overvåkningsnettverk med mange kameraer, og det iakttatte objektets bevegelser følges.

Et annet anvendelsesområde er veiovervåkning med automatisk gjenkjenning av bilers registreringsnummer ved bruk av infrarøde kameraer og mønstergjenkjenningsteknologi.

Når denne typen teknologi blir tilgjengelig kommersielt, vil det være et stort potensial for anvendelse i svært mange bransjer, også for privat beskyttelse, der man automatisk registrerer og følger opp mistenkelig adferd.

9.7 Biometri

Biometriske teknikker gjør det mulig å identifisere kjente personer blant flere tusen ansikter skannet fra et foto- eller videokamera. En benytter da digital teknologi for mønster- og ansiktsgjenkjenning. Biometri er begrepet som benyttes for et mangfold av måter å identifisere ulike deler av menneskekroppen. Fingeravtrykk er den mest vanlige biometriske metoden som fortsatt benyttes. Andre biometriske metoder er håndavtrykk, øyets irisoppbygning, blodforgrening, skriftmønster, kroppslukt, gangart, stemmemønster etc.

De mest aktuelle biometriske metodene som nå er på vei inn i anvendelse, er fingeravtrykk som brukes i adgangskontrollsystemer, geometri for menneskets ansikt, som brukes for å identifisere mennesker i en menneskemengde, samt sporing av biologisk materiale vha. menneskets unike sammensetning av gener i form av DNA-beskrivelse.

Programvare for ansiktsgjenkjenning integreres i overvåkningskameraer og gjør at de mest avanserte systemene kan gjenkjenne 500-1000 ansikter per sekund i en menneskemengde. Når systemet samtidig kan logge tid og sted for individer, gir det store muligheter for en automatisert overvåkning på private eller offentlige steder. De mest opplagte stedene dette kan anvendes på, er fotballkamper, konserter og parader hvor mange mennesker er samlet.

Den biometriske industrien vokser, blant annet som en følge av terrorfaren i Europa og USA. Mange flyplasser i USA og andre land har nå installert ansiktsgjenkjennende systemer med det formål å identifisere personer som er registrert som mistenkte for kriminalitet eller terror, automatisk.

Biometriske systemer er på full fart inn i bank­er og finansinstitusjoner for å avdekke bedrageri- og identitetstyveri-saker Andre typer næringsvirksomhet (spesielt i tjenesteyting, underholdning og spillbransjen) er i ferd med å ta i bruk slike systemer for å identifisere personer og brukere som mistenkes for falskneri, med den hensikt å få dem utestengt fra virksomheten. Ulike biometriske systemer tas også etter hvert i bruk for å sikre tilgang til datamaskiner innen både finans- og helseinstitusjoner. Stadig flere flyselskaper benytter elektronisk fingeravtrykk for å effektivisere adgangskontroll og billettservice.

Dersom slike biometriske systemer blir tatt i bruk på en omfattende måte, vil det bli mulig å kryssjekke og kombinere mange ulike typer databaser og registre for ulike formål. Det er mulig å tenke seg at næringslivet, banker og finanssektoren vil ha nytte av å bruke dette til finansielle overføringer. Det er også sannsynlig at offentlige myndigheter vil ha nytte av en samordning med utveksling av data mellom ulike databaser og registre for å effektivisere og øke servicenivået for sin virksomhet.

Som følge av mulighetene til blant annet automatisk å kunne identifisere uønskede individer som ligger i ansikts-, gangarts-, og mønstergjenkjenning, vil nytteverdien av kameraovervåkningssystemer øke. Allerede i dag er sosial ekskludering en vanlig anvendelse av overvåkningskameraer (Lomell 2005, Lomell 2007). Dersom dette kan automatiseres vil vi trolig se en økning i bruken av kameraovervåkning, både i offentlig og privat sektor.

En viktig trend når det gjelder kameraovervåkning er at det nå utvikles videobrikker med svært høy oppløsning til digitalkameraer for konsumentmarkedet. Dette gjør at prisen på slike sensorer faller dramatisk. Med høy oppløsning på bildebrikken kan også slike rimelige videokameraer ta i bruk programvare for ansikts-, gangarts-, og mønstergjenkjenning.

Slike systemer kan ha mange gode formål, men konsekvensene kan være ubehagelige hvis det oppstår feilsituasjoner. Det er nokså klart at mønster- og ansiktsgjenkjenningssystemer bare fungerer optimalt når systemet er kalibrert og har anvendt riktig digitale metode. Høye feilrater kan imidlertid oppstå. Hvis uskyldige mennesker blir uriktig identifisert som kriminelle og dette skyldes høye feilrater i teknologien, vil dette være uheldig og en uakseptabel bruk.

9.8 Trådløs kommunikasjon og lokaliseringssporing

Industrien som utvikler produkter og tjenester for det trådløse datakommunikasjonsmarked er i rask utvikling. Digitale mobiltelefoner blir mindre, billigere og byr på mer prosessorkraft. Mobiltelefonbrukere vil kunne skrive dokumenter, slå opp i sin avtalebok, få veianvisning på kart, høre på radio, lytte på musikk eller video, sende og motta elektronisk post/meldinger, låse opp dører, betale for varer, og surfe på Internett. Mobiltelefonen kan bli en håndholdt personlig datamaskin som også gir mulighet til å føre samtaler over telenettet eller mobilt Internett.

Mobiltelefoner kan også utstyres med et geografisk posisjoneringssystem med kartverk for nøyaktig stedsangivelser. Nødtjenester i USA argumenter for å gjøre dette til en obligatorisk funksjon i alle mobiltelefoner, slik at nødoppkall kan spores mer presist.

Informasjonsindustrien er i ferd med å lage en rekke nye brukertjenester som tar utgangspunkt i merfunksjonaliteteten som er i ferd med å komme på plass i mobiltelefoner og andre mobile enheter.

Man kan se for seg at mobiltelefonen du har med deg overalt, gir deg varsling om at du befinner deg i et område med for eksempel ulike typer butikker, restauranter, bensinstasjoner eller hva som helst, som du legger inn i din profil som interessant for deg. Hvis du reiser gjennom et tettsted, kan det gis et varsel i form av en stemme eller en melding om at du er nær en restaurant eller bensinstasjon.

Ulempene med et slikt system er at mobiltelefonen fungerer som en sporingsenhet. Det vil da være mulig for både offentlige myndigheter og private med egnet utstyr, å finne ut hvor du er med forholdsvis stor nøyaktighet, både i sanntid og i ettertid gjennom lokasjonsdata som er lagret hos offentlige telekommunikasjonstilbydere. Nye lovbestemmelser, som EUs datalagringsdirektiv, sikrer at lokasjonsdata blir lagret i lang tid etter at de ble registrert. Det å reise fritt og anonymt vil være vanskelig dersom man bærer med seg en mobiltelefon.

9.9 Internettavlytting

Internett brukes av mange til mange typer oppgaver som innholder kritiske data og personlig informasjon. Avlyttingsteknologien knyttet til nettet er i enorm utvikling både i forhold til ny teknologi og i forhold til metodikk. Det er derfor, både for samfunnet og det enkelte menneske, en utfordring at moderne avlyttingsteknologi gir mulighet for avlytting av alle type data som utveksles eller overføres på Internett, i noen tilfeller hvor som helst i verden (Hannemyr 2008a), med metoder som den vanlige bruker i liten grad vet om, eller kan sikre seg mot.

Utviklingen innenfor kryptografi har gjort det mulig for den enkelte å sikre sine data bedre mot avlytting, men samtidig har langt flere fått tilgang til avlyttingsteknologi. Tidligere var det i all hovedsak politiet og militære organisasjoner som lyttet. Nå er avansert utstyr for avlytting til salgs i butikker som retter seg mot konsumentmarkedet. Muligheten til å bli avlyttet har økt og vil øke som følge av at næringsvirksomhet, informasjonsindustri og privatpersoner som bruker åpne datanett som en hovedarena for fritidsaktivitet, arbeide og tjenesteyting.

Teknologi og metodikk for avlytting kan omfatte:

  • Utlevere kopi av IP-pakker i sanntid med innhold og trafikkdata i knutepunkter hos teleoperatører og internettilbydere.

  • Skadelig programvare plassert i en datamaskin som avlytter aktivitet ved maskinen over nettet. Vanligvis avlyttes tastetrykk, men moderne personlige datamaskiner er som regel utstyrt med mikrofon og videokamera, og disse kan også aktiviseres av skadelig programvare.

  • Såkalte «cookies» og «webbugs» som identifiserer spesifikke brukere og samler inn sporingsdata gjennom å koble usynlige referanser i e-post eller nettsider til annen informasjon.

  • Private og offentlige WLAN systemer som gjennom en feil er gjort åpne, eller er så dårlig sikret mot avlytting at de lett kan avlyttes.

9.10 Digitalt fjernsyn

Digitaliseringen av fjernsynet har pågått over flere år. De analoge sendingene i Norge opphører i sin helhet i løpet av 2009. Innen få år er fjernsyn et digitalt medium over det meste av verden. Digitaliseringen medfører endringer i produksjon, distribusjon og konsum av innhold og innholdsrelaterte tjenester.

Med noen få unntak (f.eks. innringingsprogrammer og eksperimenter der seerne kan få vist SMS-meldinger i rulletekst på skjermen) er den tradisjonelle fjernsynsteknologien i hovedsak enveis. Dette skiller tradisjonelt fjernsyn fra Internett som tilbyr interaktive toveistjenester for en rekke ulike formål og behov.

Inntil nylig har både innhold, aktører, teknologi og verdiskapning for henholdsvis fjernsyn og Internett skjedd i gjensidig isolasjon. Dette er i ferd med å endre seg. For eksempel er videoinnhold i form av filmer, aktualitetsprogrammer og serier i ferd med å bli tilgjengelig via Internett. I samband med at såkalte Settop-bokser tas i bruk for digitalt fjernsyn muliggjøres interaktive tjenester og funksjoner som forutsetter toveis-kommunikasjon (Hannemyr 2002, s. 52). Denne utviklingen, som mange refererer til som konvergens mellom Internett og fjernsyn, vil endre roller og forretningsmodeller for alle aktørene i verdikjeden. Innholdsleverandører (som NRK, TV2, BBC), distributører (som ViaSat og Canal Digital), og nettverksoperatørene (Telenor, NextGenTel osv.). De tradisjonelle fjernsynsdistributørene tar vanligvis betalt av brukerne gjennom faste abonnementer. En ny type tjenesteleverandører på Internett (innholdsaggregatorer) har imidlertid demonstrert at det er mulig å tjene penger på modeller der man tilbyr attraktive tjenester og innhold gratis, ved at annonsører betaler for å være til stede der mange brukere samles (jf. YouTube, Facebook, Yahoo, Google, etc.), og ikke minst ved at annonsørene får tilgang til mer informasjon om brukerne enn det som er vanlig i samband med tradisjonell fjernsynsreklame.

Internett er – i motsetning til tradisjonelt kringkastet TV – velegnet til å følge individuell brukeradferd. Slik informasjon kan benyttes til å kartlegge individers og segmenters preferanser og kjøpsvillighet til ulike varer og tjenester, som i sin tur selges til annonsører i form av individrettet markedsføring. Denne type tjenesteyting vokser raskt, og er i sin natur grensekryssende og global. Felles internasjonal lovgivning mangler. Tjenestene er ofte basert på passivt samtykke (ved å bruke tjenesten samtykker man til at tjenesteyter registrerer opplysninger om forbrukeradferd). Det er ikke alle som er oppmerksom på hva et slikt passivt samtykke innebærer.

Denne typen individrettet markedsføring har vist seg å være svært effektiv. Det er derfor fare for at kjøpsadferden endres – ikke som følge av personlige valg – men fordi innsamlet og bearbeidet adferdsinformasjon kan brukes til å manipulere det enkeltes individs kjøpeadferd og preferanser.

9.11 DNA-profilering

Hvert menneske bærer en biologisk kode som kalles DNA. Denne koden brukes blant annet for å identifisere personer og kan benyttes som bevis i kriminalsaker.

I Europa etableres nasjonale DNA databaser der personinformasjon kan utveksles ved saker som har internasjonal forankring. Kriteriene for å ta DNA-prøver og få dem utlevert er noe forskjellig i ulike land. Siden DNA-koden kan gi medisinsk informasjon om arvelighet og sykdom, er dette svært sensitiv informasjon om personer som må håndteres i henhold til gode etiske og rettslige prinsipper. Selv om hele DNA-koden ikke registreres, slik at det ikke er mulig å hente ut medisinsk informasjon, vil opplysningene være sensitive fordi registrering i DNA-registeret (i Norge) samtidig gir informasjon om at du er domfelt for et straffbart forhold som kan medføre fengselsstraff.

9.11.1 DNA-registeret i Norge

I Norge har man hatt et DNA-register til bruk i etterforskning og straffesaker siden 1995. Registret har hjemmel i straffeprosessloven § 160a. Nærmere regler for registrering og bruk finnes i påtaleinstruksen kapittel 11a.

Opprinnelig var adgangen til registrering begrenset til alvorlige straffbare forhold, som allmennfarlige forbrytelser, seksualforbrytelser og ran. I september 2008 ble registreringsadgangen utvidet. Nå kan alle som domfelles for en handling som kan medfører frihetsstraff registreres i DNA-registeret. I tillegg har man etablert et etterforskningsregister der man midlertidig registrerer DNA-profiler fra personer som med skjellig grunn mistenkes for en straffbar handling som kan medføre frihetsstraff. Midlertidige profiler slettes ved rettskraftig henleggelse eller frifinnelse. Registeret har også et sporregister, som inneholder DNA-profiler med tilknytning til uoppklarte straffesaker fra personer med ukjent identitet.

Den utvidede adgangen til å registrere også mindre alvorlig kriminalitet er begrunnet i et ønske om å identifisere lovbrytere så tidlig som mulig. Man tenker seg at økt registrering vil gi vesentlig økning i oppklaringsprosenten, noe som en antar igjen vil redusere kriminaliteten.

DNA-registrering har en side mot personvernet. Blant annet kan det biologiske materialet som danner grunnlaget for registreringen gi opphav til opplysninger om blant annet helseforhold. Biologisk materiale som har vært analysegrunnlag for DNA-profiler skal imidlertid destrueres så snart registrering av profilen har funnet sted, jf. påtaleinstruksen § 11a-8. Dette forutsetter at det utarbeides gode faktiske rutiner som sørger for at lovens krav etterleves på dette punktet. Når det gjelder opplysninger i identitetsdelen, slettes det ingen opplysninger her før etter at den registrerte er død (og ev. ved frifinnelse etter gjenopptakelse). Flere har påpekt at mangelen på differensierte sletteregler er en utfordring for personvernet.

10 Personvernfremmende teknologier

I personvernkretser har det vært debatt om hvilke teknologier som faller innenfor begrepet personvernfremmende teknologier eller PETs (engelsk: privacy enhancing tehnologies ). Mange som arbeider med dette fagfeltet ønsker å avgrense PETs til kun å dreie seg om teknologier for anonymisering, pseudonymisering og identitetsforvaltning.

For eksempel hevdes det at teknologier rettet inn mot personlig datasikkerhet ikke hører inn under PETs.

Videre diskuteres det om kryptografi faller inn under PETs. Benyttes kryptografi som ledd i en anonymiserings- eller pseudonymiseringsprosess, teller den med. Er det snakk om innholdskryptering for å sikre mot innsyn i opplysninger som kommuniseres eller som er lagret, vil dette være et rent informasjonssikkerhetstiltak. Kryptering har da som siktemål å verne opplysningene fra uautorisert innsyn (konfidensialitet) eller endring (integritet), og angår ikke identitet og muligheten for identifisering.

Denne debatten har primært akademisk interesse og Personvernkommisjonen vil under overskriften «personvernfremmende teknologier» både ta for seg teknologier som ikke spesifikt handler om identitetsforvaltning og teknologier som gjør dette. De første tar vi for oss i et avsnitt som summarisk drøfter ulike enkle teknologier som vi mener kan fremme personvernet. I det andre avsnittet tar vi for oss personvernfremmende teknologi som er knyttet til identitetsforvaltning.

10.1 Enkle personvernfremmende teknologier

10.1.1 Personlig datasikkerhet

Det er ingen tvil om at en rekke av de utfordringene personvernet står overfor, og som vi nevnte en del eksempler på i kapittel 9, kan møtes med teknologi som er konstruert for å løse ulike integritets- og sikkerhetsutfordringer.

Eksempler på dette er kryptering, brannmurer, antivirus, antispyware, spamfilter, egne modi i nettleseren som sletter spor og «cookies», osv.

Det som her bør sies, er at dette i første rekke dreier seg om ulike tekniske tiltak, som gjerne er knyttet til den enkelte brukers personlige utstyr. Personvernkommisjonen mener at verktøy for å ivareta personlig datasikkerhet og integriteten til eget datautstyr er viktig for den enkeltes personvern og personopplysningsvern. Vi har imidlertid ikke mulighet til å gå dypt ned i denne materien, men nøyer oss med å bemerke at kunnskap om riktig bruk av slik teknologi bør styrkes gjennom informasjon og opplæring.

10.1.2 Anonyme alternativer

Et klassisk eksempel på overvåkningsteknologi er en fotoboks som avfotograferer alle som kjører over fartsgrensen. Det er ikke spesielt kontroversielt, fordi den er målrettet mot kriminalitetsbekjempelse, og fordi man kan velge å unngå å bli fotografert (ved å holde fartsgrensen).

Men et slikt kamera genererer overskuddsinformasjon. Blir du fotografert, viser den hvor du var på et bestemt tidspunkt, hvem du ev. var sammen med og hva slags last du hadde i bilen og på taket.

Og dersom formålet med en slik boks er å sørge for at folk holder fartsgrensen, kan dette løses på en alternativ måte på veistrekninger som egner seg for lysregulering (dvs. i urbane områder). For eksempel kan trafikkflyten reguleres med trafikklys. Følere i veibanen kan måle hvilken hastighet bilene har. Disse dataene brukes til å styre lyskryssene, uten at personopplysninger registreres eller lages. Styringen kan konstrueres slik at biler som holder lovlig hastighet skal få grønn bølge, mens biler med for høy fart forsinkes av at de får rødt lys i alle kryss. Dermed «belønnes» førerne som holder fartsgrensen, uten at noen form for personopplysninger registreres eller lagres.

Personvernkommisjonen mener at det i alt for mange tilfeller iverksettes overvåkning når formålet ved overvåkningen kunne oppnås minst like godt og effektivt ved alternativ anvendelse av teknologi. Som vi belyser gjennom eksemplet over kan det, i alle fall i noen situasjoner, oppnås like gode resultater ved alternativ anvendelse av teknologi. Kommisjonen vil derfor oppfordre til at man, når man finner grunn til å iverksette overvåkning, utreder om man kan oppnå det samme på en alternativ måte.

10.1.3 Tilbaketrekking som gjør anonymitet mulig

Mange av teknologiene som griper inn i personvernet tolereres eller aksepteres av mange fordi de bidrar til å gjøre hverdagen enklere og mer bekvemme for brukerne.

Men det er viktig at designet i så fall inneholder en mulighet til såkalt tilbaketrekking (engelsk: opt-out ) for kunder eller brukere som prioriterer personvern fremfor bekvemmelighet.

Dersom det for eksempel legges opp til bruk av RFID-brikker for debitering av kollektivreiser eller passering av bomringer, bør det legges til rette for at det også et anonymt tilbud i form av forhåndsbetalt anonymt «klippekort» eller lignende. Dette drøftes grundigere i kapittel 17 om kommunikasjonssektoren.

10.1.4 Søkemotorimmunisering

Fra nyhetsbildet kjenner vi også til at menneskelige feil har ført til at dokumenter som kan knyttes til navngitte personer og som innholder sensitive personopplysninger, har blitt lagt på nett. Slike dokumenter fanges så opp av søkemotorer, som Google, og vil bli funnet så snart noen gjør et nettsøk på det eller på navn som finnes i dokumentet.

Det er her viktig å merke seg at selv om det selvsagt er skadelig for personvernet at slike feil skjer, så øker konsekvensene av slike feil dramatisk i det øyeblikket dokumentene fanges opp av søkemotorene. Det skyldes to omstendigheter. For det første at dokumentet blir finnbart med søk på det relevante egennavnet. For det andre at det ikke lenger er tilstrekkelig å slette dokumentet ved kilden for å slette det fra nettet. Søkemotoren har nemlig tatt vare på en kopi i sin såkalte cache , og der vil det leve i opp til seks måneder, med mindre det tas eksplisitte grep for å få det slettet.

Søkemotorimmunisering er et enkelt grep som ethvert nettsted kan ta for å forhindre at søkemotorer på nettet automatisk indekserer og lagrer kopier av innhold. Vi mener at alle organisasjoner som håndterer sensitive personopplysninger rent rutinemessig bør immunisere sine nettsteder eller deler av disse mot søkemotorer.

10.1.5 Kryptering

Kryptering vil si å skjule informasjon ved å bearbeide de dataene der informasjonen er representert på en slik måte at bare de som er autorisert til å dekryptere dataene har mulighet til å få tilgang til informasjonen.

Fra nyhetsbildet er vi kjent med at personopplysninger kommer på avveie i en rekke ulike sammenhenger. Det kan være CD-plater med slike opplysninger som forsvinner i posten, e-post som feiladresseres, minnepinner som mistes på bussen, mobiltelefoner som glemmes igjen i barer, bærbare datamaskiner som blir stjålet, eller stasjonære datamaskiner som selges brukt – mens personopplysninger fremdeles er lagret på det aktuelle medium.

Alle som håndterer et medium der det finnes personopplysninger bør utvise stor aktsomhet, slik at episoder som beskrevet ovenfor ikke inntreffer. Likevel vet vi at menneskelige feil skjer, og utvilsomt vil skje igjen. Det er en klar tendens til at bærbare enheter både blir mindre (og derfor enklere å miste) og kraftigere, og det er bare et tidsspørsmål før bærbare datamaskiner og mobiltelefoner smelter helt sammen.

I alle tilfellene vi kjenner fra mediene ville skaden for personvernet ved at slike gjenstander eller forsendelser kommer på avveie vært eliminert dersom man hadde sikret dataene tilstrekkelig med kryptering. (Dette betyr selvsagt ikke at kryptering løser alle problemer for personvernet, bare de spesifikke problemene som knytter seg til uautorisert innsyn når lagringsmedia med sensitive data faller i gale hender.)

Kryptering er en forholdsvis moden teknologi som er enkel å ta i bruk. Det meste av dagens utstyr, fra mobiltelefoner til minnepinner, kan settes opp med effektive systemer som automatisk krypterer alt som er lagres på dem. Også for elektronisk post finnes det kryptering som er enkel å bruke. Det som imidlertid mangler er bevissthet og kunnskap om hvordan man bruker kryptering. Det mangler også en fungerende infrastruktur for utveksling og autentisering av offentlige kryptografiske nøkler (PKI – public key infrastructure ).

Vi mener at å ruste opp brukermiljøer som håndterer personopplysninger i riktig og effektiv bruk av kryptering er et tiltak som bør settes i verk, og at ikke minst PKI snarest bør på plass (dette er for så vidt arbeid som pågår, men det har tatt veldig mye lenger tid enn forventet).

Samtidig ønsker kommisjonen å bemerke at kryptering ikke bør betraktes som et alternativ til andre personvernfremmende tiltak.

10.2 Teknologier for identitetsforvaltning

Litteraturen om personvernfremmende teknologier, eller PETs (fra engelsk: Privacy Enhancing Technologies ) dreier seg om tekniske og organisatoriske tiltak som tar sikte på å begrense andres mulighet til identifisere den enkelte.

Begrepet PETs kan føres tilbake til en rapport som datatilsynsmyndighetene i Ontario (Canada) og Nederland la fram i 1995. Rapporten «Privacy-enhancing technologies: the path to anonymity» (Hes og Borking 1995) ble første gang presentert på den 17. internasjonale datatilsynsmyndighetskonferansen i København samme år. Rapporten pekte på at det er mulig å konstruere informasjonssystemer slik at datasubjektets identitet holdes helt eller delvis skjult, uten at vesentlig funksjonalitet med hensyn til å følge datasubjekter over tid, går tapt. Dette var mulig ved å ta i bruk en pseudonymisert identifikator, «the identity protector». Kjernen i systemet var en koblingssentral hvor personidentifiserende identifikatorer (som for eksempel fødselsnummer) ble gjort om til pseudonymer som ikke direkte kunne knyttes til noen identifiserbar person. Slike koblingssentraler mellom identifiserbare identifikatorer og pseudonymer kunne plasseres i informasjonssystemets ulike deler eller være under brukerens kontroll. Rapporten anviste hvordan slike koblinger kunne skje automatisk i systemet etter nærmere bestemte regler forvaltet av en uavhengig og tiltrodd pseudonymforvalter.

Selv om begrepet «personvernfremmende teknologier» og akronymet «PETs» er relativt kjent i miljøer som arbeider med personvernspørsmål, finnes det fremdeles ingen omforent definisjon. Kjernen i begrepet har imidlertid hele tiden vært dataminimalitet, nærmere bestemt i forhold til å begrense muligheten for å identifisere den opplysningene gjelder, jf. Herbert Burkerts definisjon:

“The term privacy-enhancing technologies (PETs) refer to technical and organizational concepts that aim at protecting personal identity. (Burkert 1997)”

Fokuset på (mangel på) identitet kan forklares ved at personopplysningsvern bare er relevant dersom den som opplysningene gjelder kan identifiseres. Dette faktum gjenspeiles i personopplysningslovgivningen, som bare gjelder i den grad det behandles opplysninger om en identifiserbar person. Det tradisjonelle fokuset mht. PETs dreier seg følgelig om løsninger for anonymitet og pseudonymitet.

Personvernkommisjonen vil imidlertid peke på at denne typen teknologi også lar oss betrakte disse spørsmålene om identitet og identifiserbarhet under synsvinkelen identitetsforvaltning , og at dette gjør denne typen teknologi langt mer anvendelig.

Identitetsforvaltning tar utgangspunkt i individets ulike roller og hvordan identifisering og autentisering kan tilpasses disse rollene og relasjonene. Dette er et område med betydelige utfordringer, både når det gjelder teknologiutvikling, infrastruktur og regulering.

I Norge kjenner vi primært personvernfremmende teknologi fra et offentlig utvalg ledet av professor Erik Boe som utredet hvordan man kunne forene samfunnets behov for forskning på helseopplysinger med ivaretakelsen av den enkeltes personvern. Mens man tidligere hadde skilt mellom anonyme eller avidentifiserte opplysninger (som ga relativt begrensede muligheter for forskning) og fullt ut identifiserbare opplysninger (som medførte en ikke ubetydelig personvernrisiko), ble det i NOU 1993:22 ( Pseudonyme helseregistre ) foreslått en radikal endring i måten å organisere helseregistre på. I stedet for å lagre helseopplysinger med fødselsnummer, ble det foreslått at opplysningene skulle lagres under pseudonymer generert av en tiltrodd pseudonymforvalter. Tankegangen og prinsippet var det samme som i PETs-rapporten fra 1995: Ved å bytte ut personidentfiserbare identifikatorer med pseudonymer, kunne man oppnå samme funksjonalitet, samtidig som risikoen for personvernkrenkelser ble vesentlig redusert.

Dessverre ser det ut til at dette arbeidet verken er forstått eller tilfredsstillende fulgt opp (se for øvrig kapittel 16 om personvern og helse).

Vi viser forøvrig til vedlegg 4, der Thomas Olsen gjør grundigere rede for teknologier for identitetsforvaltning.

11 Forslag til tiltak

Personvernkommisjonen mener at ved introduksjon av ny teknologi i samfunnet bør som hovedregel teknologiens innvirkning på personvernet utredes på lik linje med teknologiens innvirkning på miljø og økonomi.

Personvernkommisjonen mener videre at det er viktig at samfunnet har fokus på teknologiutviklingen og fanger opp tendenser, både når det gjelder personvernfremmende teknologier og ny teknologi som kan true personvernet.

I den sammenhengen vil kommisjonen fremheve Datatilsynets faglige virksomhet (jf. kapittel 18) og det arbeidet som gjøres av Teknologirådet med å kartlegge og formidle teknologiutviklingen til politikere og publikum. Det er viktig at begge organers arbeid på dette området fortsetter, og at de har tilstrekkelig med ressurser til å ivareta dette viktige arbeidet.

Personvernkommisjonen mener det bør være en prioritert offentlig oppgave å ruste opp brukermiljøer som håndterer personopplysninger i riktig og effektiv bruk av kryptering. Tiltak på dette området bør snarest settes i verk.

Videre bør det pågående arbeidet med infrastruktur for distribusjon av offentlige kryptografiske nøkler (PKI) intensiveres.

Til dokumentets forside