Del 2
Personvernets situasjon og utfordringer innen utvalgte sektorer

6 Personvern i den digitale forvaltningen

6.1 Innledning

Personvernkommisjonen skal ifølge mandatet kartlegge «offentlig sektors behandling av personopplysninger til andre formål enn innsamlingsformålet, og gi en vurdering av de negative personvernkonsekvensene ved dette sett opp mot fordelene». Kommisjonen tolker oppdraget til å innebære en drøftelse av den pågående digitalisering av offentlig forvaltning, og den økte bruken og delingen av personopplysninger dette innebærer. Kommisjonen legger særlig vekt på problemstillinger knyttet til deling og viderebehandling av personopplysninger, profilering og bruk av kunstig intelligens i forvaltningen.1

Bruk av personopplysninger i offentlig forvaltning handler dypest sett om spørsmålet om hvilke verdier vi vil verne om og hvordan maktbalansen mellom offentlige myndigheter og den enkelte borger er ivaretatt. Den norske velferdsstaten er et velfungerende system og offentlig forvaltning nyter høy tillit i befolkningen. Det handler om hvordan offentlig forvaltning må organiseres slik at velferdsmodellen fungerer i tråd med samfunnets verdier og forventninger.

Digitalisering kan bidra til en effektiv, brukerorientert og rettssikker offentlig forvaltning, og realiserer viktige samfunnsgevinster. Digitalisering kan fjerne unødige arbeidsprosesser og kan dermed frigjøre ressurser til annet viktig arbeid. Informasjonsinnhentingen kan være mer effektiv, analysene bedre og saksbehandling kan bli raskere og bedre opplyst. God bruk av digitale verktøy kan bidra til økt tillit og transparens, likebehandling og rettssikkerhet. Å utnytte potensialet som ligger i digitalisering innebærer imidlertid ofte økt deling og viderebehandling av personopplysninger.

Offentlig forvaltning behandler store mengder personopplysninger om alle innbyggerne, fra de er født inntil de dør. Dette innebærer en betydelig infrastruktur av data om innbyggerne, ofte med fødselsnummer som identifikator. Behandling av personopplysninger gir det offentlige kunnskap om befolkingen, som er en forutsetning for at velferdsstaten kan fungere. Samtidig vil digitalisering av offentlig forvaltning kunne åpne for at personopplysninger som samles inn brukes til nye formål. For eksempel vil forvaltningen kunne bruke personopplysninger for å klassifisere, predikere eller kontrollere innbyggernes atferd. Dette kan ha negative konsekvenser for personvernet.

Det er derfor viktig at digitalisering i offentlig forvaltning skjer på en måte som sikrer den enkelte innbyggers autonomi og integritet, samt at den høye tilliten i befolkningen ivaretas. De mulighetene digitaliseringen gir, må vurderes opp mot våre ønsker for hvordan offentlig forvaltning og velferdsstaten skal utvikle seg fremover. Dette innebærer å finne den riktige balansen mellom personvern og effektive, brukervennlige og rettferdige tjenester i offentlig forvaltning.

Målet for digitaliseringspolitikken er å «tilrettelegge for en åpen og samordnet forvaltning som har høy tillit i befolkningen», som skal ivareta innbyggernes «rettssikkerhet, bidra til at beslutninger er faglig basert, ivareta demokratiske verdier og fremme effektiv bruk av ressursene».2

I dette kapitlet vurderer Personvernkommisjonen fordeler og utfordringer knyttet til bruk av personopplysninger som følger av økt digitalisering i offentlig forvaltning. Personvernkommisjonen vil foreslå tiltak regjeringen bør iverksette for å ivareta innbyggernes personvern og rettssikkerhet, og ivareta tilliten til offentlig forvaltning.

6.1.1 Hovedtrekk i digitaliseringspolitikken

Digitaliseringspolitikken for offentlig forvaltning kommer til uttrykk i stortingsmeldinger, strategier, planer og ulike typer veiledere som formidler prinsipper og metoder for digitaliseringsarbeidet i offentlig forvaltning. Eksempler er «Digital agenda for Norge – IKT for en enklere hverdag og økt produktivitet»,3 «Digitaliseringsstrategi for offentlig sektor, 2019–2025»,4 «Nasjonal strategi for kunstig intelligens»,5 og stortingsmelding «Data som Ressurs».6

Den norske digitaliseringspolitikken påvirkes i stor grad av strategier og regulering fra EU. En av Europakommisjonens seks hovedprioriteringer for 2019–2024 er digitalisering. I strategien «A Europe Fit for a Digital Age» foreslås flere regelverksinitiativer som vil påvirke og sette rammer også for digitaliseringen av offentlig forvaltning i Norge.7 Hovedtrekk i både norsk og europeisk digitaliseringspolitikk er å øke digitaliseringstakten for å forbedre tjenestene for innbyggerne.

Norsk offentlig forvaltning skal oppleves sammenhengende og helhetlige av brukerne, uavhengig av hvilke offentlige virksomheter som tilbyr dem. Med brukerne menes både innbyggere, frivillig sektor og offentlige og private virksomheter.

Den gjeldende digitaliseringsstrategien oppfordrer derfor blant annet til deling av personopplysninger på tvers av forvaltningsorganer for å realisere «kun-én-gang»-prinsippet. Innbyggere skal kun måtte gi fra seg sine opplysninger én gang til forvaltningen i stedet for å måtte avlevere opplysninger flere ganger til ulike forvaltningsorganer.

«Kun én gang»-prinsippet er også fastsatt i Digitaliseringsrundskrivet avsnitt 1.2, hvor det fremgår at utvekslingen skal skje på en måte som bevarer dataenes autentisitet og integritet.8 Utveksling av data som andre offentlige virksomheter har krav på, skal prioriteres.

En måte å realisere «kun én gang»-prinsippet på er å benytte «fellesløsninger» fremfor at hvert forvaltningsorgan etablerer sin egen, og sørge for at fellesløsninger virker på tvers av forvaltningsnivåer og sektorer. Fellesløsningene er åpne og gjenbrukbare løsninger som har felles grensesnitt og datagrunnlag. Løsningene inkluderer blant annet flere fellesregistre som folkeregisteret, samt felles grensesnitt for dialog med myndigheter (Altinn), innlogging og autentisering (ID-porten). Noen registre er tilgjengelig for bruk av flere forvaltningsorganer, for eksempel folkeregistret, kontakt- og reservasjonsregistret og matrikkelen.9 Offentlige virksomheter kan hente ut relevante opplysninger fra disse registrene i stedet for å aktivt måtte innhente dem fra innbyggerne.

«Kun én gang»-prinsippet legger blant annet grunnlaget for utvikling av «sammenhengende tjenester» på tvers av virksomheter og sektorer. Arbeidet med sammenhengende tjenester er i stor grad knyttet til prioriterte livshendelser som det å få barn, å starte en bedrift eller dødsfall og arv. Her samarbeider flere offentlige virksomheter på tvers for å sømløst tilby ulike tjenester som er relevante for innbyggere i den aktuelle livshendelsen.

Digitaliseringspolitikken skaper en forventning om viderebehandling av personopplysninger enten ved deling av opplysninger mellom forvaltningsorganer eller økt bruk av fellesregistrene. Et av tiltakene i Digitaliseringsstrategien for offentlig sektor (2019–2025) var å etablere et nasjonalt ressurssenter for deling av data som en del av Digitaliseringsdirektoratet.

Ressurssenteret ble åpnet i 2020 og tilbyr rådgivning og veiledning knyttet til deling av data. Videre skal senteret være læringsmiljø og kompetansebank for hele offentlig sektor og ha spisskompetanse på sammenhengen mellom juss, teknologi og forretnings- og forvaltningsprosesser.10 Begrunnelsen for etablering av senteret var at vurderingene ved deling og bruk av data kan være svært krevende. Dette skyldes blant annet at vurderingene berører flere regelverk som må sees i sammenheng, herunder personvernregelverket, og innebærer vekting av flere hensyn.

Digitaliseringsstrategien fastslår at personvern og informasjonssikkerhet er «grunnleggende i digitaliseringsarbeidet og må være et innebygd element fra starten av».11 Det understrekes også at digitaliseringen skal ivareta innbyggernes rettssikkerhet og personvern, og sikre at offentlig sektor fortsatt har høy tillit. Digitaliseringsstrategien sier imidlertid lite om hvordan dette skal gjøres. Etter Personvernkommisjonens vurdering har personvernhensyn fått for liten plass i digitaliseringen av offentlig sektor. I dette kapitlet vil Personvernkommisjonen komme med vurderinger og forlag til tiltak for å bedre den helhetlige ivaretakelsen av personvern i digitaliseringsarbeidet fremover.

6.1.2 Viktigheten av tillit til offentlig forvaltning

Digitalisering i offentlig sektor innebærer ofte økt bruk av personopplysninger. Bruken begrenses blant annet av regler om taushetsplikt, behandlingsgrunnlag, formålsbegrensning, krav til datakvalitet, regler om likestilling og diskriminering og andre forvaltningsrettslige regler. Reglene er satt for å verne om innbyggernes integritet og autonomi, og bidrar til å sikre innbyggernes tillit til offentlig forvaltning.

I motsetning til bruk av personopplysninger i privat sektor, der behandlingen av personopplysninger gjerne baseres på samtykke fra den «registrerte», avtale eller legitim interesse, baserer offentlig sektors behandling seg typisk på lov eller forskrift. Den registrerte kan derfor i svært begrenset grad påvirke om eller hvordan forvaltningen skal behandle personopplysningene. I tillegg oppstiller personvernregelverket en rekke unntak12 fra de registrertes rettigheter i behandlingsgrunnlagene som er mest relevante for offentlig forvaltning.13 Forholdet mellom den registrerte og myndighetene, bærer preg av en asymmetrisk maktbalanse. Det påhviler derfor offentlig forvaltning en særlig forpliktelse til å opptre på en måte som er egnet til å skape og bevare innbyggernes tillit.

Tillit til offentlige myndigheter er en forutsetning for et velfungerende demokrati. Høy tillit, både i befolkningen generelt og til myndighetene, gir myndighetene bedre forutsetninger for å kunne håndtere kriser som covid-19-pandemien eller økonomiske nedgangstider på en god måte. I 2021 målte OECD norske borgeres tillit til myndighetene til 77 %. Dette er blant de høyeste tillitsnivåene og langt over snittet i OECD-landene på 47 %.14

Åpenhet og informasjon er viktig for befolkningens tillit til offentlig forvaltning.15 Forvaltningsorganers holdninger til og rutiner for å behandle innbyggernes personopplysninger er med på å påvirke tilliten. Manglende tillit kan føre til at innbyggere avstår fra å bruke offentlige tjenester, som for eksempel kan føre til at man går glipp av informasjon og risikerer å ikke kunne hevde sine rettigheter.

Uten tillit vil digitaliseringspolitikken, med mål om å blant annet gi bedre tjenester, økt rettssikkerhet og effektivitet, vanskeligere la seg gjennomføre.

Også den årlige innbyggerundersøkelsen viser at offentlig sektor i Norge er velfungerende og nyter høy tillit blant innbyggerne.16 Ifølge undersøkelsen fra 2021 har befolkningen ganske høy tillit til myndighetenes behandling av personopplysninger. Innbyggerne har derimot lav tillit til myndighetenes evne til å ivareta informasjonssikkerheten. Økt bevissthet om personvern, blant annet etter hendelser som dataangrep mot Stortinget17 og Østre Toten kommune18 som har fått mye oppmerksomhet i media, kan ha bidratt til lavere tillit.

Digitalisering av offentlig forvaltning muliggjør i større grad viderebehandling av personopplysninger på tvers av virksomheter og tjenester. For at tilliten til forvaltningen skal ivaretas hos brukerne er det viktig at viderebehandlingen av personopplysningene skjer i tråd med innbyggernes forventninger. Som beskrevet i kapittel 3, kan personvern sees i kontekstuelt perspektiv. Det kan oppleves som et tillitsbrudd om opplysninger som er samlet inn for et konkret formål brukes til nye formål i en annen kontekst.

6.2 Hvordan bruker offentlig forvaltning personopplysninger i en digital hverdag?

6.2.1 Hvordan digitaliseres den offentlige forvaltningen?

I likhet med samfunnet ellers, har offentlig forvaltning vært gjenstand for en omfattende digitalisering. Dette er ikke noe nytt, digitalisering i samfunnet og offentlig forvaltning har pågått siden 60-tallet.19 Hastigheten har imidlertid økt i takt med tiden. Med dagens digitalisering står offentlig forvaltning overfor en rekke muligheter og utfordringer.

Digitaliseringen av offentlig forvaltning omfatter mange ulike elementer og handler om mer enn automatisering av vedtak. Deler av digitaliseringen er innføringen av ulike digitale verktøy og hjelpemidler for å forbedre arbeidet i forvaltningen, slik som løsninger for tekstbehandling og samhandlingsverktøy. Viktige deler av digital forvaltning gjelder automatisering av rettsanvendelsen. Dette kan skje ved at datamaskiner automatiserer deler av saksbehandlingen og gir støtte til saksbehandler (jf. «beslutningsstøttesystemer»). Men det kan også skje ved at systemet er programmert til å fatte vedtak uten at en saksbehandler er involvert i den enkelte sak, og det er resultatet fra maskinen som utgjør vedtaket, uten kontroll fra et menneske (jf. «beslutningssystemer»).20 I alle deler av forvaltningens bruk av digitale løsninger kan det behandles personopplysninger.

Gode digitale løsninger kan bidra til å sikre personvernet. Velutviklede løsninger kan gi god personopplysningssikkerhet og gi god kontroll på flyten og bruken av personopplysninger. Dette bidrar til å ivareta prinsippene for behandling av personopplysninger, slik som dataminimering, riktighet, lagringsbegrensning, og integritet og konfidensialitet. Videre kan gode digitale løsninger gi et godt grunnlag for å utvikle automatiserte tjenester som gjør det lettere for den registrerte å ivareta sine rettigheter etter personvernforordningens kapittel 3.

Motsetningsvis vil dårlige digitale løsninger kunne svekke personvernet. Tekniske løsninger kan ha utilstrekkelig informasjonssikkerhet eller være utformet slik at de oppfattes som lite transparente. Dette kan svekke tilliten til offentlig forvaltning.

Selv om digitaliseringen av offentlig forvaltning kan omfatte mye, fokuseres det i det videre på automatiseringen av rettsanvendelse, profilering og bruk av maskinlæring i forvaltningen.

6.2.2 Automatisert rettsanvendelse

Automatisert rettsanvendelse innebærer at en datamaskin bruker rettsreglene automatisk i stedet for at en saksbehandler bruker rettsreglene manuelt. Men for at dette skal være mulig, må forvaltningen på forhånd ha fortolket alle lover, forskrifter og andre rettskilder og uttrykt tolkningsresultatene som algoritmer i en programkode. Datamaskinen er altså forhåndsprogrammert med de rettsregler forvaltningen mener skal gjelde, slik at reglene kan anvendes på konkrete saker.

For å automatisere rettsanvendelse er det særlig to slags systemer som er aktuelle:21

Rettslige beslutningssystemer. Dette er systemer som helt eller delvis automatiserer behandling av enkeltsakene fram til vedtak. Et beslutningssystem kan gjerne forutsette noe manuell saksbehandling, men det er resultatet systemet kommer frem til som legges til grunn for vedtak. Det er altså ingen person som ved ordinær saksbehandling overprøver det systemet har kommet frem til.

Rettslige beslutningsstøttesystemer. Dersom det er mennesker som i hovedsak behandler sakene og har kontroll over og kan overprøve resultatene fra datamaskinsystemene, kalles systemene beslutningsstøttesystemer. Også slike systemer kan ha deler der rettsanvendelsen er automatisert, men det er uansett saksbehandler som innestår for resultatene (vedtakene).

Automatisering av vedtak består av automatisk innhenting av informasjon (typisk, personopplysninger), og videre bruk av disse opplysningene for å prøve om lovens vilkår er oppfylt og for å foreta kompliserte beregninger, for eksempel av studiepoeng, skatter og sosiale stønader. For at dette skal kunne skje, er rettsreglene «oversatt» til kjørbar programkode, dvs. til detaljerte og uttømmende beskrivelser (algoritmer) som angir hva maskinen må gjøre for å komme frem til vedtak som er i samsvar med loven. Når sakene gjelder enkeltpersoner, er det personopplysninger som er input til systemet. Selve vedtaket (output) er nye personopplysninger om den saken gjelder. I personvernperspektiv kan vi si at personopplysninger blir brukt som «råstoff» for å produsere nye personopplysninger.

Personvernregelverket gjør et viktig skille mellom systemer som behandler personopplysninger på helt automatiserte måter, og andre systemer der det skjer noe manuell behandling. Er behandlingen helt automatisert har registrerte personer rett til å be om «relevant informasjon om den underliggende logikken» for behandlingen av personopplysninger. Beslutningsstøttesystemer er aldri helt automatiserte. Rettslige beslutningssystemer kan være helt automatiserte, men ofte er det noe manuell saksbehandling som gjør at systemet likevel ikke blir omfattet av de spesielle reglene for helt automatiserte systemer.

Det er svært utbredt i norsk forvaltning å bruke beslutningssystemer og beslutningsstøttesystemer for å treffe vedtak i saker om enkeltpersoner. Automatiseringsgraden er ofte høy, og det er en politisk målsetting at den skal øke. For eksempel brukes slike høyt automatiserte systemer av Skatteetaten for å fatte skattevedtak; av Lånekassen for vedtak om lån og stipend; av Folketrygden for å vedta alderspensjon; og av Husbanken for å avgjøre krav om bostøtte.

Automatisert rettsanvendelse kan bidra til å ivareta viktige hensyn i forvaltningen:

• Automatisert rettsanvendelse kan gjøre det lettere å sikre hensynet til likebehandling. En datamaskin som får to helt like saker, vil alltid komme til det samme resultatet. Korrekt automatisert rettsanvendelse kan dermed forhindre urettmessig og utilsiktet forskjellbehandling.

• Automatisert rettsanvendelse kan gi god gjennomsiktighet og forutberegnelighet. Det vil alltid være mulig å følge algoritmen for å forstå den nøyaktige årsaken til resultatet av automatisert saksbehandling. De fleste mennesker kan imidlertid ikke lese programkode. Gjennomsiktige systemløsninger er derfor først og fremst en mulighet, og krever at forvaltningen har dokumentert hvilke regler som er programmert inn i systemet. Med slik dokumentasjon kan folk lese forklaringer i vanlig språk og slipper å prøve å forstå programkoden.

• Automatisert rettsanvendelse kan gi stor forutberegnelighet. Dersom det er kjent hvilke opplysninger datamaskinen skal behandle og hvordan behandlingen skjer, vil det være mulig å undersøke hva som blir resultatet av et vedtak før det er fattet. Det kan for eksempel utvikles løsninger hvor innbyggerne kan gå inn på nettsiden til en offentlig etat og eksperimentere med hvilke vilkår som må være oppfylt for at et bestemt vedtak skal fattes. Dette gjør at innbyggerne kan se hva de selv må endre på eller oppdatere.22

• Automatisering av rettsanvendelse kan bidra til å ivareta hensynet til effektivitet, både for forvaltningen og for innbygger. Det vil være en fordel for innbyggerne å få effektive tjenester. Vedtak kan fattes raskt slik at innbyggerne enkelt kan få avklart sin rettigheter og plikter. Ressursene som spares når tjenester automatiseres kan brukes på andre viktige oppgaver.

Automatisert rettsanvendelse har også ulemper, blant annet:

• Effektivitetsgevinsten ved automatisert rettsanvendelse skyldes at en datamaskin kan behandle vedtak raskt og i store mengder. Dette betyr samtidig at feil i systemet vil kunne gi feil i mange vedtak. Datamaskinen følger dataprogrammet slavisk, enten det er riktig eller feil.

• Når forvaltningen fastsetter hvilke rettsregler som skal programmeres inn i systemet, står de overfor små og store tolkningsvalg. Det kan derfor forekomme at andre tolkningsvalg enn de som ligger i programkoden er rettslig akseptable. Det kan være vanskelig å oppdage muligheten for å velge andre fortolkninger enn de forvaltningen har lagt til grunn i systemet. Derfor er det viktig at forvaltningen dokumenterer det rettslige innholdet i systemene sine.

• Automatisert rettsanvendelse forutsetter ferdigtolkede rettsregler som deretter brytes ned til instruksjoner som kan gjøres til et dataprogram.23 Blant annet fastsettes det på uttømmende måte hvilke personopplysninger som er relevante i saken, og hvordan disse kan inngis i systemet. Dermed kan det skje at konkrete saksforhold ikke blir tatt hensyn til selv om personen saken gjelder mener de er relevante.

• Forvaltningsskjønn kan ikke automatiseres.24 For eksempel kan man ikke automatisere beslutninger om hva som er «rimelig». En kan heller ikke automatisere når et forvaltningsorgan «kan» treffe en avgjørelse. Poenget med forvaltningsskjønn er at det skal skje konkrete vurderinger, og da er det ikke mulig å forhåndsprogrammere dem. I mange sammenhenger ønsker personene vedtaket gjelder nettopp en mulighet for konkret skjønnsmessig, individuell vurdering i deres sak. Med helt automatiserte vedtak er ikke det mulig, og derfor kan slike vedtak oppfattes som «firkantete» og urettferdige av personer som representerer spesielle tilfeller.

6.2.3 Maskinlæring

Maskinlæring er en spesialisering innenfor kunstig intelligens, og innebærer bruk av «statistiske metoder for å la datamaskiner finne mønstre i store datamengder».25 Dette er nærmere beskrevet i kapittel 5. I offentlig forvaltning er det mange problemstillinger hvor det kan være aktuelt å benytte maskinlæring som en del av løsningen. Dette kan være problemstillinger som omfatter bruk av personopplysninger.

Maskinlæring kan ikke brukes til å automatisere rettsanvendelse slik det er beskrevet i avsnitt 6.2.2. Grunnen er at rettsanvendelse handler om å følge regler i lov og forskrift, ikke om statistiske beregninger. Maskinlæring kan imidlertid brukes som beslutningsstøtte for å bruke forvaltningsskjønn i tidligere saker til å ta stilling til skjønn i nye, lignende saker. Hvis en finner tidligere saker som ligner en foreliggende sak, kan det for eksempel være sannsynlig at sakene bør få samme utfall. Den konkrete skjønnsmessige vurderingen må likevel en saksbehandler gjøre, der tidligere saker maskinlæringssystemet har funnet frem til, inngår i grunnlaget for vedtaket.

Bruk av maskinlæringssystemer i offentlig forvaltning kan gi mange muligheter, men kan også medføre personvernutfordringer. Blant mulighetene er avanserte former for profilering.26 Slik kan for eksempel velferdsordninger tilbys til innbyggere med spesielle behov uten at vedkommende er nødt til å selv oppsøke hjelp, eller helsekontroller kan tilbys til befolkningsgrupper som antas å være i risikosoner basert på en rekke opplysninger.27

Selv om maskinlæringssystemer kan brukes til mange gode formål, er det egenskaper ved maskinlæring som det er grunn til å være oppmerksom på (personvernutfordringer knyttet til bruk av maskinlæringssystemer er også beskrevet i kapittel 5). Egenskaper ved maskinlæring som det er grunn til å ta særlig hensyn til ved bruk i offentlig sektor er:

• Datamengde: Flere maskinlæringsalgoritmer er avhengig av store mengder data. Dette kan støte an mot dataminimeringsprinsippet. Utvikling og bruk av maskinlæring krever også ofte mange forskjellige typer personopplysninger – opplysninger som ofte er samlet inn for andre formål. Dette kan støte an mot formålsbegrensningsprinsippet. Ivaretakelse av prinsippene om dataminimering og formålsbegrensning er helt grunnleggende for at enkeltindividet skal ha kontroll over personopplysningene sine.

• Datakvalitet: Det kan være mangler eller feil i dataene som analyseres, eller i dataene som systemet trenes på. Samtidig kan det gjøres feil ved utvalg av data som skal analyseres eller brukes som treningsdata. Dette kan føre til at feil gjenskapes og forsterkes, slik at det introduseres systematiske skjevheter (bias) i systemet som kan føre til diskriminerende effekter. På den måten kan det oppstå fare for at vi trekker med oss holdninger i et historisk datamateriale som vi i dag tar avstand fra.

• Transparens: Avanserte former for maskinlæring kan være vanskelig både å forstå og forklare, og kan gjøre det tilnærmet umulig å forklare hvordan opplysninger blir koblet og vektlagt i en spesifikk behandling. De matematiske og statistiske modellene maskinlæring er basert på, gjør det videre vanskelig å forstå og kontrollere om det er systematiske feil eller skjevheter i datasettet (bias), og hvordan dette virker inn på resultatene. Dersom maskinlæringssystemene er uforståelige «svarte bokser» uten åpenhet og mulighet til å forklare og motsi resultatene fra systemet, kan dette underminere viktige prinsipper om demokrati og rettssikkerhet.

• Ukritisk bruk av resultatene fra statistiske analyser (beslutningsstøttesystemer): Maskinlæring er basert på statistiske analyser og resultatene kan derfor aldri legges direkte til grunn som vedtak. Maskinlæring kan derfor bare brukes som beslutningsstøtte. Når vedtak fattes, foreligger det risiko for at myndighetene likevel ukritisk legger til grunn resultatene som systemet genererer. Årsaken kan for eksempel være lange restanser, stort arbeidspress og urealistisk tiltro til systemet eller manglende kunnskap om hva et maskinlæringssystem er. I avsnitt 6.2.5 omtales et eksempel fra Nederland hvor myndighetene ukritisk la til grunn resultatet fra et beslutningsstøttesystem. Dette er ikke et problem ved teknologien selv, men ved hvordan den brukes.

En rapport skrevet på oppdrag for Europaparlamentet trekker frem de samme risikofaktorene som nevnt over ved bruk av maskinlæring i offentlig sektor.28 I rapporten foreslås det en rekke tiltak for å motvirke disse fallgruvene. Tiltakene inkluderer blant annet obligatoriske menneskerettighetsvurderinger, etablering av regulatoriske sandkasser og kompetansebygging.

Det er i dag flere regelverk som innebærer krav til offentlig forvaltnings bruk av maskinlæringssystemer som behandler personopplysninger. Blant disse er Grunnloven, EMK, personopplysningsloven, likestilling- og diskrimineringsloven og forvaltningsloven. Dette er imidlertid generelle regelverk som har betydning for maskinlæring uten å regulere slik teknologi spesielt. På EU-nivå ser en imidlertid behovet for direkte og mer presis regulering av kunstig intelligens, herunder maskinlæring. I forslaget til forordning for kunstig intelligens forslår Europakommisjonen en risikobasert tilnærming, og hoveddelen av lovforslaget gjelder systemer der det er høy risiko. I forslaget settes det også en grense for hva som er uakseptabel høy risiko, og teknologi som faller innenfor denne kategorien forbys. Et eksempel på teknologi som er på forbudslisten i forslaget er systemer for «social credit scoring», som gir innbyggere poengsummer basert på oppførsel. Slike systemer er utviklet og er i bruk i Kina, og Europakommisjonen ønsker å forby innføring av lignende systemer i Europa. Maskinlæringssystemer der det ikke er høy risiko er ikke omfattet av forslaget til EU-regler. Mange mulige anvendelser av maskinlæring i offentlig forvaltning med relativt lav risiko er derfor ikke omfattet av forslaget. Også for enkelte slike anvendelser kan det være behov for lovregulering.

6.2.4 Forholdet mellom maskinlæring og profilering

Med «profilering» sikter man til kategorisering av personer basert på likhetstrekk og korrelasjoner i et datagrunnlag, og eventuelt til å foreta avgjørelser basert på tilhørighet til en gruppe eller kategori. Profilering er definert i personvernforordningen artikkel 4 nr. 4 som:

«enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser.»

Profilering vil typisk innebære at eksisterende personopplysninger brukes til å vurdere sannsynligheten for at den registrerte tilhører en viss type kategori, har bestemte egenskaper eller sannsynligheten for en viss type handling/atferd i fremtiden. Fordi det er spørsmål om sannsynlighet, vil ikke profileringen gi eksakte svar. Svarene og kvaliteten på disse beror på hvilke personopplysninger som benyttes og bruken av disse, herunder hvilket spørsmål som søkes besvart.

Korrelasjoner tilsvarer ikke nødvendigvis kausalitet.29 Dette betyr at profileringen kan avdekke sammenhenger, uten at det er årsakssammenheng. Videre kan profileringen gi sammenhenger som vi i vår rettsstat ikke ønsker, eller tillater, at skal være en del av en vurdering. 30

Profilering i vid forstand trenger ikke nødvendigvis å inkludere maskinlæring. Maskinlæring er imidlertid godt egnet til å lage profiler. Maskinlæring brukes blant annet til å vurdere sannsynligheten for en bestemt atferd, såkalt prediktiv analyse, som nevnt over. Ved prediktiv analyse beregner maskinlæringsalgoritmen, på basis av personopplysninger fra en stor gruppe mennesker, seg frem til en persons sannsynlige fremtidige handlinger og egenskaper. Når slutninger om en enkeltperson foretas basert på egenskaper til en gruppe mennesker fremfor en reell individuell vurdering, oppstår det såkalte «gruppe-til-individ-problem». Det gir en risiko for feil, vilkårlighet, urettferdighet og diskriminering i avgjørelsene. Dette er bakgrunnen for at personvernforordningen har et forbud mot helautomatiserte avgjørelser basert på profilering i artikkel 22, ved siden av regler som krever åpenhet, informasjon og innsyn i hvordan personopplysninger behandles.

6.2.5 Eksempler på bruk av maskinlæring i norsk og utenlandsk offentlig forvaltning

Bruk av maskinlæring, herunder profileringsmodeller, kan brukes både til gunst og til ugunst for enkeltindividet. På den ene siden kan forvaltningen profilere en person for å vurdere om det er behov for ekstra oppfølgning og støtte. Profilering kan også brukes for å påvirke atferd, for eksempel gjennom tilpasset veiledning. Avhengig av omstendighetene kan dette anses for å være til gunst for den som profileres. Videre kan profilering tenkes brukt til kontroll av forvaltningen til gunst for enkeltindividet, for å påse at det ikke er fattet uriktige vedtak mot visse typer individer. På den andre siden kan profilering også benyttes til ugunst for enkeltindividet som profileres. Forvaltningen kan eksempelvis ønske å profilere innbyggere for å vurdere om noen er risikoobjekter som bør tas ut for nærmere kontroll. Profilering, uavhengig av om den er til gunst eller ugunst for enkeltindividet, reiser en rekke personvernspørsmål. Profilering for kontrollformål reiser i tillegg rettssikkerhetsspørsmål slik som spørsmål om legalitetsprinsippet og uskyldspresumpsjonen. Personvernkommisjonen adresserer de særlige utfordringene knyttet profilering for kontrollformål i avsnitt 6.4.5.

I internasjonal sammenheng har profilering ved hjelp av maskinlæring særlig vært brukt til kontrollformål og innenfor barnevern. I Danmark har myndighetene testet ut et slik system, den såkalte «Gladsaxe-modellen». Formålet med modellen var å sile bekymringsmeldinger til barnevernet for å vurdere nærmere oppfølging, og for å fange opp utsatte barn på et tidlig stadium. Ved bruk av maskinlæring til kontrollformål er det gjerne snakk om å identifisere risikofaktorer for juks og andre avvik ved mottakelse av ytelser. I Norge benytter Skatteetaten slike systemer for å sørge for en mer målrettet kontroll og for å differensiere oppfølgingen av skatteytere.31 Nav benytter ulike systemer for beslutningsstøtte, men det er uklart om det benyttes profilering til kontroll. I Navs tildelingsbrev for 2022 er det uttrykt at Nav skal jobbe med å utarbeide risikoanalyser for å identifisere områder som er særlig utsatt for trygdesvindel.32

Personvernkommisjonen ønsker under å løfte frem eksempler på bruk av maskinlæring i offentlig forvaltning, med særlig fokus på profilering, som kan reise personvernutfordringer.33

Nav

Nav har deltatt i Datatilsynets sandkasse for kunstig intelligens, hvor etaten ønsket å bruke maskinlæring til å forutse hvilke sykemeldte brukere som lå an til å bli langtidssykmeldte. Ved å benytte en maskinlæringsmodell som profilerte den sykmeldte var målet å gi automatisert beslutningsstøtte til den Nav-ansatte. Den Nav-ansatte skulle ved hjelp av resultatet fra profileringen videre vurdere hvilken oppfølging fra Nav-kontoret den sykmeldte hadde behov for. Prosjektet ble lagt på is da det var usikkerhet knyttet til lovhjemler for utviklingen av algoritmen, da dette forutsatte behandling av store mengder personopplysninger om et betydelig antall personer som ikke lenger er sykemeldte.

Danmark

I desember 2021 vedtok det danske Folketinget endringer i skattekontrolloven som gir Skatteforvaltningen hjemmel til å sammenstille alle sine data og til å innsamle all nødvendig informasjon til kontrollformål. Formålet er å utvikle og benytte algoritmer for å understøtte regjeringens ønske om å styrke Skatteforvaltningens muligheter for å utføre en bedre og mer intelligent kontroll.

Lovendringen består av to deler.34 Den ene er en hjemmel for å samkjøre opplysninger Skatteforvaltningen er i besittelse av for å utvikle blant annet maskinlæringsmodeller og analytiske modeller. Den andre er en hjemmel for å innsamle ytterligere informasjon som deretter kan sammenstilles med informasjon Skatteforvaltningen allerede har. Dette kan være informasjon fra offentlig tilgjengelige kilder, for eksempel fra eBay, Amazon og Google Maps.

Opplysningene skal videre kunne sammenstilles for å finne frem til nye opplysninger om den enkelte. Forskriftshjemmelen er også ment å gi hjemmel til å fravike formålsbestemthetsprinsippet i personvernforordningen.

Når det gjelder muligheten for at risikomodellene kan peke ut feil kontrollobjekter, er vurderingene som er gjort knyttet til dette, begrenset til tilfeller hvor algoritmene ikke klarer å identifisere alle risikoobjekter. Risikoen for at en modell feilaktig utpeker personer eller virksomheter som mulige skattesvikere er ikke nevnt.

Lovendringene ble enstemmig vedtatt i Folketinget. Det var først etter at loven var vedtatt at det ble offentlig debatt.35 I etterkant har flere representanter i Folketinget hevdet at de ikke forsto rekkevidden av lovforslaget de vedtok eller at de hadde betenkeligheter, men ikke så noe alternativ.

Nederland

I perioden 2012–2019 benyttet den nederlandske skattemyndigheten et maskinlæringssystem for å flagge personer som hadde høy antatt risiko for å misbruke landets barnetrygdordning. Maskinlæringssystemet ble ikke brukt til å fatte enkeltvedtak, men som beslutningsstøtte.

I ettertid ble det avdekket at mellom 25 000 og 35 000 hadde blitt feilaktig anklaget for trygdemisbruk på bakgrunn av systemet. Anklagene førte til krav om tilbakebetaling av ytelser, med svært alvorlige konsekvenser for innbyggerne som ble rammet. Systemet opererte med en stor mengde variabler, inkludert opplysninger om statsborgerskap. Det var mange feil i systemet, blant annet at innbyggere med dobbelt eller ikke-nederlandsk statsborgerskap ble flagget som mulige misbrukere i mye større grad enn innbyggere med nederlandsk statsborgerskap. Individets nasjonalitet ble et utvelgelseskriterium for kontroll, selv om dette ikke var et faktisk vilkår for å få støtte. Bruken av det automatiserte systemet førte således til ulovlig diskriminering med både psykologiske og økonomiske skadevirkninger for de som ble rammet.

Eksemplet fra Nederland illustrerer noen av problemstillingene som kan oppstå ved bruk av maskinlæringssystemer som beslutningsstøtte. Utviklingen av maskinlæringssystemet og bruken av data var utilstrekkelig. Saken var svært alvorlig, men det er grunn til å understreke at det ikke bare var maskinlæringssystemet som var utfordringen. Det var en svært omfattende systemsvikt hvor flere lag med rettsikkerhetsmekanismer feilet.

Et av elementene i systemsvikten var den menneskelige kontrollen. Systemet var et beslutningsstøttesystem. Det skulle snevre inn gruppen som skulle vurderes for kontroll, men ikke selv ta den endelige avgjørelsen. En saksbehandler skulle gjøre dette. Saksbehandleren hadde imidlertid begrenset innsikt i hvorfor en person var flagget og la derfor ukritisk til grunn at alle som ble flagget av systemet antageligvis hadde misbrukt ordningen.36

I januar 2021 gikk den nederlandske regjeringen av som en følge av skandalen. I tillegg til barnetrygdskandalen, har Nederland vært rystet av to andre saker med visse likhetstrekk.37 Sakene viser hvordan kompleksitet og manglende transparens gjør samspillet mellom mennesker og maskin utfordrende.

Eksemplene over viser at det kan være utfordringer ved å bruke maskinlæring i forvaltningen. Det er viktig å se til andre og ta lærdom av de erfaringene som er gjort. Ved bruk av maskinlæring vil det være ekstra viktig å legge inn egnede tiltak for å sikre de registrertes rettigheter, sørge for egnede garantier mot feilbruk og å verne om sårbare grupper. Særlig er dette av stor betydning der bruk av maskinlæring inngår i behandling som er av inngripende karakter, for eksempel til kontroll. Teknologien må testes grundig før den tas i bruk og jevnlig revideres mens behandlingen pågår.

6.3 Rettslige rammer for behandling av personopplysninger i offentlig forvaltning

Digitalisering i offentlig forvaltning innebærer ofte behandling av personopplysninger. Personvernregelverket gir rammene for hvordan personopplysninger kan behandles, men må sees i sammenheng med annen lovgivning og rettsprinsipper. Offentlig forvaltnings behandling av personopplysninger vil kunne anses som et inngrep i personvernet, og må da skje innenfor de rammene som følger av Grunnlovens § 113, EMK artikkel 8 og Grunnloven § 102.

I det følgende beskrives de rettslige rammene for behandling av personopplysninger i offentlig forvaltning. Det gis først et generelt overblikk over krav til behandlingsgrunnlag før det ses nærmere på hvordan kravet til lovregulering av behandlingsformål påvirker bruk og deling av personopplysninger i offentlig forvaltning.

6.3.1 Legalitetsprinsippet og krav om rettsgrunnlag etter Grunnloven og EMK

I norsk rettstradisjon står legalitetsprinsippet helt sentralt. Legalitetsprinsippet innebærer at staten ikke kan gjøre inngrep i borgernes rettsstilling uten hjemmel i lov. Prinsippet er grunnlovfestet i Grunnloven § 113 som lyder: «myndigheters inngrep ovenfor den enkelte må ha grunnlag i lov».

Grunnloven § 102 lyder:

«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller.

Statens myndigheter skal sikre et vern om den personlige integritet.»

Denne bestemmelsen skal leses som at systematisk innhenting, oppbevaring og bruk av opplysninger om andres personlige forhold bare kan finne sted i henhold til lov, benyttes i henhold til lov eller informert samtykke og slettes når formålet ikke lenger er til stede.38

Bestemmelsen gir ikke adgang til eller vilkår for å gjøre inngrep i rettigheten, men har en klar sammenheng med Grunnloven § 113. Høyesterett har lagt til grunn at inngrep i rettighetene i § 102 kan skje dersom tiltaket har en tilstrekkelig hjemmel, forfølger et legitimt formål og er forholdsmessig.39

Grunnloven har klare likhetstrekk med EMK artikkel 8, og må tolkes i lys av denne.40 Den Europeiske Menneskerettighetsdomstolen (EMD) har i sin praksis lagt til grunn at offentlige myndigheters lagring av personopplysninger som knytter seg til privatliv, utgjør et inngrep i retten til privatliv. Et slikt inngrep må oppfylle kravene i EMK artikkel 8 nr. 2, som krever at inngrepet må ha tilstrekkelig hjemmel, ha et legitimt formål og være forholdsmessig. Det er kravet om tilstrekkelig hjemmel som er særlig interessant i denne sammenhengen.

Hjemmelskravet innebærer at behandling av personopplysninger av offentlig forvaltning må ha et rettsgrunnlag. Det stilles ikke formelle krav, som gjør at rettsgrunnlaget kan være lov, forskrift eller uskreven rett.41 Det stilles imidlertid krav om at rettsgrunnlaget skal være tilgjengelig og forutberegnelig.

Hva som er et tilstrekkelig rettsgrunnlag for offentlig sektors behandling av personopplysninger, beror på en konkret vurdering, blant annet av hvor inngripende behandlingen er. Desto større inngrepet er, desto strengere krav til klarhet og forutberegnelighet. Dette betyr at et større inngrep vil ha strengere krav til presisjonsgrad i hjemmelsgrunnlaget. I noen tilfeller må hjemmelsgrunnlaget detaljere ikke bare hvorfor behandlingen finner sted, men også hvordan.

6.3.2 Krav til behandlingsgrunnlag etter personopplysningsloven

Det følger av personvernforordningen at all behandling av personopplysninger må ha et behandlingsgrunnlag for å være lovlig. Dette er beskrevet i denne utredningens kapittel 4. Reglene om behandlingsgrunnlag følger av personvernforordningen artikkel 6, og for noen typer opplysninger artikkel 9 og 10. For behandling av personopplysninger i offentlig forvaltning vil særlig grunnlagene i artikkel 6 nr. 1 bokstav c og e være aktuelle.42 Disse behandlingsgrunnlagene er relevante når behandling av personopplysninger er nødvendig for å

• oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige.

• «utføre en oppgave i allmennhetens interesse» som den behandlingsansvarlige er pålagt; eller

• «utøve offentlig myndighet» som den behandlingsansvarlige er pålagt. 43

Det følger av artikkel 6 nr. 3 at «grunnlaget for behandlingen» nevnt i nr. 1 bokstav c og e skal «fastsettes» i unionsretten eller i nasjonal rett. Dette innebærer at artikkel 6 nr. 1 bokstav c eller e ikke alene kan utgjøre behandlingsgrunnlaget, men at det må finnes et supplerende rettsgrunnlag for behandlingen i nasjonal rett.

Når det gjelder spørsmål om hva som kan utgjøre det supplerende rettsgrunnlag, legger departementet i forarbeidene til grunn at lov- og forskriftsbestemmelser kan utgjøre supplerende rettsgrunnlag og antar at også vedtak fattet i medhold av lov eller forskrift omfattes.44

Når det gjelder spørsmål om innholdet i rettsgrunnlaget, utdyper fortalepunkt 45 nærmere hvor detaljert det rettslige grunnlaget i nasjonal rett må være. Her kommer det frem at for behandlinger som utføres i samsvar med en rettslig forpliktelse som påhviler den behandlingsansvarlige, for eksempel et offentlig forvaltningsorgan (artikkel 6. nr. 1. bokstav c – rettslig forpliktelse) skal det supplerende rettsgrunnlag være tydelig på at behandling av personopplysninger er nødvendig for å innfri den rettslige forpliktelsen. Den rettslige forpliktelsen må altså være tydelig fastsatt, men ikke uttrykkelig den behandlingen av opplysninger som dette innebærer.

For behandling av personopplysninger som er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet, (artikkel 6. nr. 1 bokstav e) er det tilstrekkelig at det supplerende rettsgrunnlaget gir grunnlag for å utøve myndighet eller å utføre en oppgave i allmennhetens interesse. Det er altså ikke nødvendig at det supplerende rettsgrunnlaget uttrykkelig regulerer behandling av personopplysninger.

Det fremkommer videre av artikkel 6 nr. 3 at det rettslige grunnlaget kan inneholde særlige bestemmelser om (blant annet) de generelle vilkårene som skal gjelde for lovligheten av behandlingen, hvilke type opplysninger som skal behandles og hvilke enheter personopplysninger kan utleveres til.

Det foreligger dermed et absolutt krav om at myndighetsutøvelsen, eller oppgaveløsning i den allmenne interesse, skal fremkomme av rettsgrunnlaget. I tillegg må formålet med behandlingen fremgå når det gjelder behandlinger som er nødvendig for å oppfylle en «rettslig forpliktelse». Derimot foreligger det ikke noe absolutt krav om at det i lov eller forskrift må detaljeres hvilke personopplysninger som skal inngå i behandlingen. Det kreves heller ikke en særlig lovbestemmelse for hver enkelt behandling, hvilket betyr at flere ulike behandlinger kan utføres i medhold av samme rettslige grunnlag.

Når det ovenfor er sagt at det ikke er nødvendig å fastsette detaljerte regler i lov og forskrift, betyr det samtidig at det er anledning til å gjøre nettopp det. Forordningen tillater for eksempel at det gis nasjonale bestemmelser om hvilken type opplysninger som skal behandles, om hvem personopplysningene kan utleveres til, om formålene for behandlingen, og hvor lenge opplysningene kan lagres.

6.3.3 Samlet om krav til lovregulering av behandlingsformål

Kort oppsummert betyr dette at personvernforordningens krav om supplerende rettsgrunnlag utfylles av de menneskerettslige kravene til rettsgrunnlag for inngrep i retten til privatliv. Kravene om supplerende rettsgrunnlag må derfor også ses i lys av rettspraksis fra blant annet EMD.45

Personvernforordningen krever, i noen tilfeller, at det finnes et supplerende rettslig grunnlag, mens legalitetsprinsippet og EMK i tillegg stiller ytterlige krav til det rettslige grunnlaget.

Dette innebærer at for behandling av personopplysninger i offentlig forvaltning, må det foretas en vurdering av formålet med behandlingen, samt en vurdering av hvor inngripende behandlingen er.

En slik vurdering kan, etter omstendighetene, innebære at det supplerende rettsgrunnlaget må inneholde mer spesifikke bestemmelser enn det som uttrykkelig fremgår av minimumskravene etter personvernforordningen artikkel 6 nr. 2 og 3.

6.3.4 Rettslige rammer for viderebehandling av personopplysninger i offentlig forvaltning

Utgangspunktet, basert på redegjørelsen over, er at det supplerende rettsgrunnlag må kunne svare på hvorfor det er nødvendig at personopplysninger blir behandlet. Det er ikke krav til, men rettslig adgang til å fastsette hvordan opplysningene kan behandles.

For behandling av personopplysninger i offentlig forvalting vil formålsangivelsen typisk gjelde utøvelse av ulike typer myndighet, for eksempel til å treffe bestemte typer enkeltvedtak. Formål kan også være knyttet til andre forvaltningsoppgaver, som for eksempel kvalitetsforbedring, informasjonsarbeid, eller intern administrasjon.

Personvernprinsippene, og særlig prinsippet om formålsbegrensning, setter imidlertid grenser for hva personopplysninger kan brukes til etter at de er samlet inn. Artikkel 5 nr. 1 bokstav b fastsetter at personopplysninger skal samles inn for «spesifikke, uttrykkelig angitte og berettigede formål og ikke videre behandles på en måte som er uforenlig med disse formålene.»

Formålsangivelsen er i første omgang relevant for vurdering av om et offentlig forvaltningsorgan har behandlingsgrunnlag for å samle inn og behandle opplysninger til de oppgavene forvaltningsorganet er pålagt på lovgivningstidspunket.

Det kan oppstå spørsmål om forvaltningsorganer har anledning til å bruke allerede innsamlede personopplysninger til andre formål som ikke var forutsett på det tidspunktet da myndighetsutøvelsen for vedkommende organ ble lovfestet.

I mandatet er Personvernkommisjonen bedt om å se nærmere på offentlig sektors behandling av personopplysninger til andre formål enn innsamlingsformålet. Personvernkommisjonen har valgt å forstå formuleringen «andre formål» i mandatet som henvisning til videre formål. For sekundære formål46 gjelder det særlige krav, men disse vil ikke bli drøftet i det følgende.

6.3.5 Vurdering av forenlighet

For å kunne bruke allerede innsamlede personopplysninger til videre formål, altså andre formål enn det opplysningene opprinnelig ble samlet inn for, må det vurderes om de nye formålene er forenlige med innsamlingsformålene.

Dersom det nye formålet med behandlingen er forenlig, vil behandling være tillatt uten et eget separat rettsgrunnlag for viderebehandlingen. Dersom det nye formålet ikke er forenlig med innsamlingsformålet, må viderebehandlingen ha grunnlag i lov eller samtykke. Om det trengs et nytt grunnlag i lov for selve viderebehandlingen er derfor avhengig av en forenlighetsvurdering.

Denne forenlighetsvurderingen må skje i samsvar med personvernforordningen artikkel 6 nr. 4. Det skal blant annet tas hensyn til enhver forbindelse mellom formålene som personopplysningene er blitt samlet inn for, og formålene med den tiltenkte viderebehandlingen, i hvilken sammenheng personopplysningene er blitt samlet inn, særlig med hensyn til forholdet mellom den registrerte og den behandlingsansvarlige, personopplysningenes art, især om det er særlige kategorier av personopplysninger, de mulige konsekvensene av den tiltenkte viderebehandlingen for de registrerte, og om det foreligger nødvendige garantier (for eksempel kryptering eller pseudonymisering).

Det kan være vanskelig å gjøre en forenlighetsvurdering når det gjelder videre behandling av personopplysninger i offentlig forvaltning. For offentlig forvaltnings behandling av personopplysninger basert på personvernforordningen artikkel 6 nr.1 bokstav e, er det som nevnt ikke nødvendig at selve formålet for behandlingen fremgår av rettsgrunnlaget. Selv om formålet ikke trenger å fremgå av rettsgrunnlaget, er det ikke gitt unntak fra formålsbegrensningsprinsippet.

Det er ikke anledning for lovgiver til å lovfeste enhver type uforenlig videre bruk i nasjonal rett. Slike lovbestemmelser må være et «nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1».47

Personvernkommisjonen mener det er viktig å avklare hva slags videre bruk av personopplysninger i offentlig forvaltning som vil være akseptabel, samt hvem som kan/bør foreta disse vurderingene. Det er uklart om det er nok at hvert enkelt forvaltningsorgan som behandlingsansvarlig gjør disse vurderingene, eller om de bør gjøres av lovgiver.48

6.3.6 Andre rettslige skranker for bruk av opplysninger i offentlig forvaltning

Det er flere regelverk utover personvernregelverket som regulerer hvordan offentlig forvaltning kan bruke opplysninger.

Forvaltningsorganer er blant annet underlagt flere krav til saklighet. Det fremgår av Grunnloven § 98 annet ledd at ingen må utsettes for «usaklig eller uforholdsmessig forskjellsbehandling». Etter den ulovfestede læren om myndighetsmisbruk, som bygger på rettspraksis, gjelder det forbud mot usaklig forskjellsbehandling og mot å legge vekt på utenforliggende (usaklige) hensyn. I tillegg er det et ulovfestet krav om at offentlig forvaltning skal opptre i tråd med god forvaltningsskikk.

Det finnes også andre lover som regulerer og begrenser hva personopplysninger kan brukes til i offentlig forvaltning. For eksempel setter forvaltningslovens regler om taushetsplikt skranker for deling av opplysninger om noens «personlige forhold», dvs. av mange ulike personopplysninger. Også krav til opplysningskvalitet kan være hinder for viderebehandling av personopplysninger. Behandling for et videre formål krever for eksempel mer oppdaterte opplysninger enn det innsamlingsformålet begrunnet.

6.4 Personvernutfordringer knyttet til deling og viderebehandling av personopplysninger i offentlig forvaltning

Økt digitalisering og deling av personopplysninger i offentlig forvaltning kan på ulike måter utfordre personvernet. Det er viktig at regelverk blir fulgt, at prosesser er transparente, og at det er enkelt for innbyggerne å få informasjon om og ha oversikt over behandling av egne personopplysninger. Dette er avgjørende for at innbyggerne skal kunne ivareta rettighetene sine på en god måte.

Utfordringsbildet knyttet til deling og viderebehandling av personopplysninger i offentlig forvaltning er komplekst. I dette kapitlet trekker Personvernkommisjonen opp de utfordringene kommisjonen mener er av størst betydning, samt årsaker til disse og mulige tiltak.

Det er andre viktige utfordringer som ikke berøres i dette kapitlet, for eksempel knyttet til mangelfull bestillerkompetanse og kravsetting til innebygd personvern i de tekniske løsningene som bestilles. Utfordringer knyttet til bestillerkompetanse og leverandøroppfølging vil berøres nærmere i kapittel 8 om personvern i skolen og barnehagen.

6.4.1 Fragmentert tilnærming til personvern i offentlig forvaltning

Etter kommisjonens vurdering mangler det en helhetlig tilnærming til personvern i offentlig forvaltning. Per i dag har ingen offentlig virksomhet et overordnet ansvar for å vurdere den samlede bruken av personopplysninger i offentlig forvaltning. Dette resulterer i manglende helhetlig overblikk over omfanget av innsamling, bruk og viderebehandling av personopplysninger i offentlig forvaltning, eller oversikt over vurderingene som gjøres når personvern veies opp mot andre hensyn.

I stor grad gjøres vurderinger knyttet til personvern i kontekst av en bestemt sektor eller et lov- eller forskriftsarbeid. Datatilsynet kan vurdere lovligheten av den enkelte behandlingsansvarliges bruk av personopplysninger, men har ikke, og bør ikke ha, ansvar for overordnede og strategiske vurderinger knyttet til personvernets stilling i forvaltningen.

Mangelen på en helhetlig tilnærming til personvern kommer til uttrykk på flere måter, og fører med seg ulike utfordringer. Nedenfor vil kommisjonen presentere noen av disse utfordringene, beskrive det som kan være årsaker til utfordringene og foreslå egnede tiltak.

6.4.1.1 Mangelfull koordinering av regelverksutviklingen

Personvernkommisjonen ser at en av de største utfordringene ved nødvendig deling av opplysninger mellom offentlige virksomheter ikke nødvendigvis er taushetspliktbestemmelsene, men at det mangler tilstrekkelig hjemmelsgrunnlag for å behandle opplysningene til legitime formål.

For å levere sammenhengende tjenester eller etterleve «kun én gang»-prinsippet er det viktig å se ulike sektorer og offentlige tjenester i sammenheng når regelverket utformes. På den måten kan man legge til rette for nødvendig samarbeid og eventuelt deling av opplysninger for å løse oppgaver knyttet til den sammenhengende tjenesten.

Det er behov for større grad av koordinering av regelverkutviklingsarbeidet på tvers av offentlig sektor. Mye regelverk er sektorspesifikt, og ses i begrenset grad i sammenheng med regelverk på andre områder.

Lovgiver bør i større grad sørge for å harmonisere definisjoner av begreper på tvers av regelverk. En mulighet er at disse tas inn i lovtekst som legaldefinisjoner. En annen og mer fleksibel mulighet er å klargjøre definisjoner i lovforarbeider. Begge metoder kan gjøre det lettere å se konsekvenser for personvernet av et konkret regelverk, og sammenholde disse med konsekvenser for personvernet som følge av andre relevante regelverk.

6.4.1.2 Begrenset parlamentarisk kontroll

Personvernkommisjonen mener Stortinget bør sikres større innflytelse på digitaliseringen av offentlig forvaltning og hvilke konsekvenser dette får for innbyggernes personvern. Involvering av Stortinget bidrar blant annet til at beslutninger blir bedre belyst og får bredere forankring.

Personvernkommisjonen mener det i dag er et problem at for mange tiltak med stor innvirkning på innbyggernes personvern forskriftsfestes, i stedet for at de hjemles i lov og blir en sak Stortinget må ta stilling til. På den måten mister Stortinget muligheten til å ha oversikt over bruken av personopplysninger i forvaltningen. Dette henger tett sammen med avsnitt 6.4.2 om vide hjemler.

Personvernkommisjonen mener offentlig forvaltning har et særlig ansvar for å ivareta befolkningens tillit. Dette krever grundige vurderinger av om formålet med viderebehandlingen av innbyggernes personopplysninger er forenelig eller ikke med det opprinnelige innsamlingsformålet og hvor stort inngrep viderebehandlingen innebærer. Disse vurderingene bør offentliggjøres. Hvilke vurderinger som bør gjøres omtales under rettslige rammer i avsnitt 6.3.

6.4.1.3 Mulige årsaker til mangelen på helhetlig tilnærming

Personvernkommisjonen vil i det følgende peke på noen mulige årsaker til utfordringene som er beskrevet over.

Manglende personvernpolitikk

Det er ikke utviklet en helhetlig politikk for personvern. Politikken på området er delvis gitt på europeisk nivå, gjennom utformingen av personvernforordningen. Hvordan det nasjonale handlingsrommet som forordningen åpner for benyttes, bør være gjenstand for mer systematisk og helhetlig debatt, som beskrevet i kapittel 10. Det er behov for å løfte diskusjonen om nye hjemler for deling eller bruk av personopplysninger fra å handle om konkrete og isolerte endringer på ett område, til å også bli en åpen samfunnsdebatt om verdier og prinsipper.

På vei mot en mer datadrevet forvaltning vil man støte på mange muligheter som, selv om de er lovlige ut fra gjeldende rett, kan være etisk utfordrende. At det er lov å dele og viderebehandle personopplysninger betyr ikke nødvendigvis at det skal eller bør gjøres. Innhenting, bruk og viderebehandling av personopplysninger kan komme i konflikt med etiske og moralske normer i samfunnet eller utfordre grunnleggende samfunnsmessige verdier og prinsipper. Diskusjonen om hvordan personvern skal vektes opp mot andre viktige hensyn bør skje i form av åpen debatt og er verdispørsmål som bør avgjøres på politisk nivå.

En effektiv forvalting er viktig, blant annet for å sikre gode innbyggertjenester. Personvernkommisjonen ønsker imidlertid å advare mot å vektlegge effektivitet så tungt at det går ut over den enkelte innbygger sine grunnleggende rettigheter og friheter, herunder retten til personvern.

Personvernkommisjonen etterlyser en åpen debatt om veiing av kryssende hensyn mellom personvern og andre hensyn, som for eksempel effektivisering. Kommisjonen savner en beskrivelse av hvordan forvaltningsorganer skal vektlegge spørsmål om personvern, og hvordan disse vurderingene skal gjennomføres.

Personvernkommisjonen ser det som nødvendig med en personvernpolitikk som kan balansere digitaliseringspolitikken. Digitaliseringspolitikken er ambisiøs på vegne av offentlig forvaltning, men tar etter kommisjonens syn ikke tilstrekkelig høyde for at realisering av politikken forutsetter lovendringer.

Personvernkommisjonen vil fremheve behovet for at regjeringen utarbeider en helhetlig personvernpolitikk for offentlig forvaltning, som ses i sammenheng med digitaliseringspolitikken og gir føringer for hvordan forvaltningen skal gjøre prinsipielle vurderinger om personvern og sikre at borgernes personvern ivaretas i løsningene som utvikles. I personvernpolitikken bør regjeringen ha særlig oppmerksomhet på personvernkonsekvensene av mer utstrakt deling og viderebehandling av personopplysninger, og hvordan disse skal vurderes opp mot andre viktige hensyn som effektivisering og rettsikkerhet.

Personvernkommisjonen anbefaler at regjeringen legger frem en personvernpolitisk redegjørelse for Stortinget årlig, forankret i gjeldende personvernpolitikk.

Mangel på helhetlig overblikk

I dag har ingen virksomhet i offentlig forvaltning et dedikert ansvar for å jobbe helhetlig og horisontalt med personvern. Som et neste steg etter utviklingen av en personvernpolitikk, kan det være naturlig å se på om det er behov for en funksjon eller virksomhet med ansvar for gjennomføring av politikken.

Vurderinger knyttet til innsamling, deling og bruk av personopplysninger foretas i stor grad sektorvis, med varierende grad av parlamentarisk kontroll og ofte uten åpen debatt. I tillegg til en funksjon som nevnt over, mener Personvernkommisjonen det er et behov for et rådgivende og frittstående organ for forvaltningen som kan vurdere og drøfte prinsipielle og generelle spørsmål knyttet til bruk av personopplysninger i offentlig forvaltning, herunder samfunnsmessige og etiske spørsmål. I Danmark har regjeringen opprettet et Dataetisk råd som skal gi råd og innspill til regjeringen, Folketinget og offentlige myndigheter om dataetiske spørsmål ved bruken av data og ny teknologi. Rådet skal også bidra til å understøtte en kultur i offentlig forvaltning for ansvarlig bruk av personopplysninger.49

Et slikt organ i Norge kan blant annet:

• Legge stor vekt på informasjons- og debattskapende aktiviteter ved å bidra til informasjon til publikum og bidra til kommunikasjon mellom offentlige myndigheter, fagfolk og interesseorganisasjoner.

• Gi uttalelser i saker om lovregulering av bruk av personopplysninger i offentlig forvaltning og digitaliseringstiltak som har betydning for personvern, etter begjæring eller av eget initiativ.

• Gi uttalelser til norske myndigheter i spørsmål om personvern og digitalisering i internasjonale organer.

• Offentliggjøre sine uttalelser med mindre annet følger av lovbestemt taushetsplikt.

6.4.2 Utforming av lovhjemler

Utfordringene knyttet til en manglende helhetlig tilnærming til bruk av personopplysninger i offentlig forvaltning henger tett sammen med utfordringer på et lavere nivå knyttet til spesifikke regelverksarbeid.

6.4.2.1 Manglende vurdering av personvernkonsekvenser i lovarbeid

Utredningsinstruksen50 forutsetter utredning av konsekvenser ved ulike tiltak. Konsekvensutredninger er sentralt ved alt regelverksarbeid. Utredningsinstruksen skal sikre at det alltid foretas utredninger som omfatter «virkninger for enkeltpersoner privat og offentlig næringsvirksomhet, statlig, fylkeskommunal og kommunal forvaltning og andre berørte». Personvernkonsekvenser kan være en type konsekvenser som skal vurderes ved lovarbeid. Det finnes egne tilleggsveiledninger til Utredningsinstruksen om for eksempel konsekvenser for likestilling, næringsøkonomiske konsekvenser, personvernkonsekvenser og miljøutredninger. Det følger av Utredningsinstruksen med tilleggsveileder at det i lovarbeid skal utredes hvilke konsekvenser lovforslaget kan ha for personvern, der det er relevant. Vurderingene av personvernkonsekvenser skal utredes som ledd i den ordinære utredningsprosessen.

Personvernforordningen stiller også klare krav til utredning av personvernkonsekvenser. Der Utredningsinstruksen er generell, er personvernforordningen mer konkret om når det skal gjøres konsekvensvurderinger, og også hva som skal vurderes. Se nærmere i kapittel 4 om vurderinger av personvernkonsekvenser etter personvernforordningen.

Vurderingen av personvernkonsekvenser i lovarbeid er avgjørende for å kunne bedømme hvilken påvirkning loven vil ha på personvernet. Det er også en forutsetning for parlamentarisk kontroll og domstolskontroll. Inngrep i personvernet må skje innenfor rammene EMK artikkel 8 og Grunnloven § 102 oppstiller. Det er viktig å vurdere om, og dokumentere at, de inngrepene som gjøres er nødvendige og forholdsmessige.

Vurderinger av personvernkonsekvenser er viktig for å sikre åpenhet om hvordan forvaltningen vektlegger og balanserer personvernhensyn i møte med andre hensyn og verdier. Det er også nødvendig for å kunne vurdere om det bør lovfestes tiltak som skal avhjelpe konsekvensene, og for vurderingen av hvorvidt disse tiltakene er egnede og tilstrekkelige. Når konsekvensene for personvernet som følge av lovforslag ikke vurderes godt nok, blir det også vanskelig å få oversikt over de samlede konsekvensene for personvernet av flere lovvedtak.

Personvernkommisjonen mener vurdering av personvernkonsekvenser i lovarbeid bør inkludere vurderinger av om eksisterende regelverk er tilstrekkelig og om det nasjonale handlingsrommet i personvernforordningen artikkel 6 nr. 3 skal anvendes. Bestemmelsen i personvernforordningen artikkel 6 nr. 3 omfatter tilfeller der behandlingsgrunnlag for behandling av personopplysninger finnes i artikkel 6 nr. 1 bokstav c («rettslig forpliktelse») og bokstav e («oppgave i allmennhetens interesse» og «utøve offentlig myndighet»). Dersom det fastsettes nasjonale bestemmelser, kan dette bidra til klarere og mer utfyllende regelverk, og dermed gi større forutberegnelighet for innbyggerne. Det vil også gi bedre grunnlag for å vurdere lovligheten av konkrete behandlinger av personopplysninger.

6.4.2.2 Vide hjemler

Sett fra et digitaliseringsvennlig ståsted, vil vidt utformede lovhjemler i mange sammenhenger kunne fremstå som fordelaktig. Det gir forvaltingsorganene rom til å vurdere hvilke behandlingsaktiviteter som er mest relevante for en effektiv og god oppgaveløsning. Samtidig gir fleksible lovreguleringer også redusert behov for tid- og ressurskrevende regelverksarbeid.

På den andre siden reduserer denne lovteknikken den parlamentariske kontrollen i regelverksutviklingen, og vid utforming av lovbestemmelser vil gi mindre forutsigbar praksis. Utstrakt bruk av vidt utformede regler vil også øke risikoen for at innhenting, sammenstilling og viderebruk av personopplysninger samlet sett overstiger et ønsket og håndterbart nivå.

Personvernregelverket, legalitetsprinsippet, Grunnloven § 102 og EMK artikkel 8, stiller krav til rettslig grunnlag for behandlingen av personopplysninger, og hvordan dette bør utformes. Det må gjøres vurderinger og avgrensninger i forarbeidene, og mer detaljerte vilkår bør følge av forskrift hvis det ikke er mulig å være presis i selve loven. Jo mer inngripende behandlingen er, jo strengere er kravet til klarhet og presisjon.

6.4.2.3 Særlig om profilering

Når forvaltningen benytter seg av profilering eller tar avgjørelser som er basert på helautomatisert behandling av personopplysninger, kommer personvernforordningen artikkel 22 til anvendelse. Bestemmelsen er ikke begrenset til formelle avgjørelser eller til enkeltvedtak etter forvaltningsloven, men omfatter også avgjørelser som «på tilsvarende måte i betydelig grad påvirker vedkommende». Mona Naomi Lintvedt51 peker i sin utredning på at prosessledende avgjørelser, som for eksempel utplukk til kontroll, kan være av en så inngripende karakter at det vil kunne ha tilsvarende betydning for den registrerte som en «avgjørelse».52 Når artikkel 22 kommer til anvendelse må den behandlingsansvarlige kunne vise til et supplerende rettslig grunnlag i nasjonalretten. Det må derfor vurderes hvilken betydning offentlige virksomheters bruk av automatisert behandling og/eller profilering har for den registrerte.

Det er uheldig at hver enkelt etat foretar disse vurderingene hver for seg. Det ville bidra til klarhet hvis vurderingen av om en avgjørelse har rettsvirkning eller tilsvarende betydning ikke overlates til hver etat, men heller ble vurdert i lov- og forskriftsarbeidet.

Vide hjemler vil i stor grad overlate balanseringen av personvernhensyn mot andre relevante hensyn, så som kontrollhensyn, til den enkelte etat. Etatene må også foreta vurderinger av om profilering støter an mot diskrimineringsforbudet eller god forvaltningsskikk. Personvernkommisjonen mener slike vurderinger i langt større grad enn i dag må gjøres kjent for offentligheten.

6.4.2.4 Mulige årsaker til mangler i regelverksutviklingen

Det kan være flere årsaker til at det ikke tas tilstrekkelig hensyn til personvern i regelverksutviklingen. Personvernkommisjonen vil her peke på utilstrekkelig veiledning, mangel på kompetanse og ressurser og mangelfull etterlevelse av plikten til å rådføre seg med Datatilsynet, jf. personvernforordningen artikkel 36 nr. 4, som mulige årsaker.

Utilstrekkelig veiledning

Arbeidet med lov- og forskrifter skal som nevnt gjøres i tråd med Utredningsinstruksen.53 Instruksen skal sikre at statlige beslutninger er velbegrunnede og gjennomtenkte.

I 2008 ble det utgitt en tilleggsveileder til utredningsinstruksen om vurdering av personvernkonsekvenser. Målet var å lette forståelsen av i hvilke saker det var nødvendig å vurdere personvernkonsekvenser, når i prosessen dette skulle gjøres, og hvordan vurderingene skulle gjøres. Veilederen ble utarbeidet for å ivareta krav i den tidligere (nå opphevede) personopplysningsloven. Personvernkommisjonen har fått opplyst at veilederen nå er under oppdatering i Kommunal- og distriktsdepartementet.

Personvernkommisjonen ser det som svært positivt at det er igangsatt et arbeid i departementet med å oppdatere veilederen.

Personvernkommisjonen mener det er nødvendig å få på plass en forståelig og anvendelig veileder for vurdering av personvernkonsekvenser i lov- og forskriftsarbeid. Veilederen bør legge til rette for at ansvarlig departement kan synliggjøre både personvernkonsekvensene av det tiltaket som innføres isolert sett, og de samlede personvernkonsekvensene av ulike tiltak som allerede er på plass på det aktuelle området.

I tillegg til en ny veileder om vurderinger av personvernkonsekvenser til utredningsinstruksen, mener Personvernkommisjonen at også veilederen om lovteknikk- og lovforberedelse («lovteknikkheftet») bør oppdateres.54 Lovteknikkheftet er ikke oppdatert hverken med henvisninger til dagens utredningsinstruks, veileder for digitaliseringsvennlig regelverk eller den oppdaterte tilleggsveilederen om vurderinger av personvernkonsekvenser.

Utilstrekkelig kompetanse og ressurser

Kompetanseheving og opplæring i personvern er et lederansvar og et krav i personvernregelverket. Personvernkommisjonen har inntrykk av at det er bygget opp betydelige kompetansemiljøer på personvern i store deler av forvaltningen de siste årene. Den silo-orienterte oppbygningen av offentlig sektor bidrar imidlertid til små miljøer som sitter adskilt fra hverandre, og kompetansemiljøene drar i liten grad synergieffekter av hverandres kunnskap og innsikt. Dette gjelder alt fra lov- og forskriftsuforming til juridiske vurderinger knyttet til utvikling av konkrete løsninger.

Den digitale utviklingen i offentlig forvaltning og samfunnet for øvrig, gjør at det stadig oppstår nye juridiske problemstillinger og avklaringsbehov knyttet til hvordan ny teknologi eller nye behandlingsprosesser påvirkes av personvernregelverket. Dette er dynamiske og vedvarende prosesser der kompetanse, kunnskap og innsikt utvikles kontinuerlig.

Mange av problemstillingene er likelydende for store deler av offentlig forvaltning. For eksempel har Schrems II-dommen pekt på juridiske problemstillinger knyttet til bruk av mange digitale tjenester, som vil gjelde på tvers av forvaltningen. Et annet eksempel er kompetanse knyttet til lovlig og etisk bruk av kunstig intelligens i offentlig forvaltning. For slike tilfeller bør det legges opp til felles kompetanseheving og utvikling av «beste praksis» og veiledning. Eksempelvis kan dokumenterte og publiserte resultater fra Datatilsynets sandkasse for kunstig intelligens55 gjøre det mulig for mange virksomheter å dra nytte av andres pilotarbeid. Videre er «Koordineringsarbeidet etter Schrems II» et eksempel på hvordan virksomheter i offentlig forvaltning kan samarbeide for å sikre faglig kvalitet og god ressursbruk i krevende og likelydende juridiske vurderinger.56

Personvernkommisjonen anbefaler at offentlig forvaltning styrker personvernkompetansen til ledere, saksbehandlere og andre ansatte som har behov for slik kompetanse. I arbeidet med regelverksutvikling bør det stilles krav til personvernkompetanse. Kunnskap om personvern bør inngå i den obligatoriske grunnopplæringen til nyansatte saksbehandlere, på lik linje med opplæring i forvaltningsloven og offentleglova.

Rådføringsplikten med Datatilsynet i lov- og forskriftsarbeid

Personvernforordningen artikkel 36 nr. 1 hjemler en plikt for den behandlingsansvarlige til å rådføre seg med Datatilsynet dersom de tar sikte på å igangsette en behandling av personopplysninger som kan medføre høy risiko for de registrertes personvern. En lignende plikt til å rådføre seg med tilsynsmyndigheten gjelder etter personvernforordningen artikkel 36 nr. 4:

«Medlemsstatene skal rådføre seg med tilsynsmyndigheten ved utarbeiding av forslag til lovgivning som skal vedtas av et nasjonalt parlament, eller av et reguleringstiltak som er basert på slik lovgivning, og som er knyttet til behandling.»57

Personvernkommisjonen mener artikkel 36 nr. 4 forutsetter en særskilt rådføringsplikt. Bestemmelsen kan ikke anses å være etterlevet ved å gi Datatilsynet anledning til å være høringsinstans i forbindelse med en ordinær offentlig høringsprosess. I alle tilfeller påligger det regjeringen å utrede lovgivning så omfattende og grundig som nødvendig, og på balansert, systematisk og helhetlig måte når spørsmålene er av prinsipiell karakter. Dersom Datatilsynet involveres på et tidlig tidspunkt kan tiltakets nødvendighet belyses, og det er mulig å drøfte utforming av ulike virkemidler for å sikre at personvernet blir ivaretatt etter at loven har trådt i kraft. Rådføringsplikten, og hvordan kommisjonen mener den bør forstås og innrettes, diskuteres i kapittel 13. Rådføringsplikten er også omtalt i kapittel 7.

Personvernkommisjonen anbefaler at regjeringen vurderer om rådføringsplikten etter personvernforordningen følges i tilstrekkelig grad i dag. En slik vurdering bør også inneholde vurderinger av hvordan rådgivningsplikten kan innrettes for å ikke forsinke lovarbeidet, samt føre til en uforholdsmessig stor ressursbelastning for Datatilsynet. Disse vurderingene bør gjøres som ledd i utviklingen av en personvernpolitikk.

6.4.3 Deling av personopplysninger mellom forvaltningsorganer

Offentlige organer har behov for å utveksle opplysninger på tvers av virksomheter for å løse oppgaver og for å utvikle og forbedre saksbehandlingen og tjenester rettet mot innbyggerne. Slik deling vil ofte innebære at personopplysninger også viderebehandles til formål som ikke er forenlige med det formålet de opprinnelig ble innsamlet for.

Et eksempel er at UDI mottar informasjon fra politiet om brudd på straffeloven eller utlendingsloven, som grunnlag for vurdering i utvisningssaker. Et annet eksempel er at Skatteetaten deler informasjon om inntektsopplysninger med Husbanken så de kan saksbehandle lånesøknader.

Virksomheter kan også inngå større samarbeid der deling av opplysninger er en sentral og vesentlig del av samarbeidet. Et eksempel er Tilda, en løsning som skal sikre god informasjonsflyt mellom tilsynsmyndighetene i Norge, og der målet er koordinerte, effektive og mer målrettede tilsyn.58

Behovet for deling av opplysninger mellom offentlige virksomheter er omtalt i Digitaliseringsstrategien, som oppfordrer til deling av data på tvers av forvaltningsorganer.

«Gjenbruk av informasjon bidrar til raskere og enklere saksgang både for brukerne og for de offentlige virksomhetene. Offentlige virksomheter skal ikke spørre brukerne på nytt om forhold de allerede har opplyst om. Dette omtales gjerne som «kun én gang», og er et langsiktig mål og en av hovedprioriteringene i IKT-politikken. Finnes data hos en annen virksomhet, skal data hentes derfra, forutsatt at det foreligger rettslig grunnlag. Dette er også fastsatt i Digitaliseringsrundskrivet punkt 1.2.

Utvekslingen skal skje på en måte som bevarer dataenes autentisitet og integritet. Utveksling av data som andre offentlige virksomheter har krav på, skal prioriteres.»

Trygg og effektiv deling av data mellom offentlige myndigheter forutsetter at aktørene gjør grundige og forsvarlige juridiske vurderinger. Vurderingene kan være krevende. En av grunnene er at vurderingene berører flere regelverk som må sees i sammenheng, herunder personvernregelverket, og innebærer vekting av flere hensyn. En annen grunn er at faktum, den virkeligheten rettsreglene skal vurderes mot, ofte innebærer avanserte teknologiske løsninger. For å hjelpe virksomheter med de krevende vurderingene er det opprettet et Nasjonalt ressurssenter for deling og bruk av data (Digdir) som skal veilede om problemstillinger knyttet til deling av data.59

6.4.3.1 Uklare roller og ansvar i samarbeid der det deles personopplysninger

En utfordring ved deling av personopplysninger på tvers av organer, er at det oppstår usikkerhet rundt ansvarsforholdet mellom samarbeidende organer. For å sikre at de registrertes rettigheter ivaretas på en god og hensiktsmessig måte, er det viktig å klargjøre behandlingsansvaret mellom behandlingsansvarlige virksomheter. For eksempel hvorvidt det kan sies å foreligge et databehandlerforhold,60 eller om det kan være felles behandlingsansvar.61

Det eksisterer mange ulike og til dels kompliserte samarbeidsformer som gjør at rolleavklaringen ikke alltid er like åpenbar. Det kan være nødvendig å fastsette forskriftshjemler i flere særlover for å dekke et bestemt behov for informasjonsdeling.

Fordeling av roller og ansvar kan gjøres i lov- eller forskriftshjemmel for samarbeidet, dersom samarbeidet er hjemlet i lov eller forskrift, jf. personvernforordningen artikkel 4 nr. 7.62

Personvernkommisjonen anbefaler at ansvarsfordelingen i større grad bør lov- eller forskriftsfestes der deling av personopplysninger inngår som en del av et større samarbeid mellom forvaltningsorganer og hvor uklarhet kan medføre alvorlige personvernkonsekvenser. Særlig er dette aktuelt der det er snakk om mer komplekse samarbeid. Dette vil føre til klarhet og gi større bevissthet om forpliktelser knyttet til behandlingsansvaret hos det enkelte organ. For eksempel kan det reguleres hvem som er ansvarlig for informasjonssikkerhet der samarbeidet innebærer bruk av felles tekniske løsninger. Videre kan det reguleres hvem som er ansvarlig for informasjonsplikten og andre plikter, noe som vil styrke den registrertes rettigheter. Samtidig vil forvaltningsorganene unngå å bruke ressurser på å utrede hvilket organ som har ansvar for hva.

Den nasjonale adgangen til å skape klarhet i ansvarsplasseringen, slik forordningen åpner for, er nærmere diskutert i kapittel 10.

Personvernkommisjonen mener det må utarbeides og videreutvikles standarder for deling av personopplysninger. Dette gjør det lettere å samarbeide, og bidrar til å sikre høyere faglig kvalitet og effektiv ressursbruk.

Deling av taushetsbelagte opplysninger i mottakers interesse

Det finnes en rekke bestemmelser som åpner opp for adgang til å dele taushetsbelagte opplysninger i de tilfellene hvor det er i mottakerorganets interesse at opplysningene deles.63 Dette forutsetter at partene på hver sin side har nødvendig behandlingsgrunnlag for å behandle opplysningene, som kan være nedfelt i sektorspesifikk særlov. Det er avgiverorganet som har taushetsplikt og dermed må vurdere hvorvidt vilkårene for deling er oppfylt, i dette tilfeller om mottakerorganet har behov for opplysningene for å utføre sine lovpålagte oppgaver. I tilfellet hvor behandlingsgrunnlaget for mottakerorganet er regulert i særlov, synes det ofte å være en utfordring for avgiverorganet å klargjøre om mottakerorganet har behov for opplysningene, og dermed behandlingsgrunnlag for å få dem utlevert.

6.4.3.2 Ivaretakelse av den registrertes rettigheter ved deling av data

Det offentlige består av mange behandlingsansvarlige som har ansvar for den behandlingen av personopplysninger som faller under egen oppgaveløsning. Utveksling av opplysninger mellom behandlingsansvarlige kan gjøre det utfordrende å holde oversikt over dataflyten. Gode automatiserte løsninger kan bidra til å avhjelpe dette. For innbyggerne kan det likevel være vanskelig å vite hvilken behandlingsansvarlig de skal forholde seg til for å håndheve sine rettigheter etter personvernforordningens kapittel III.

Underrettingsplikten artikkel 19

Personvernforordningen artikkel 19 pålegger den behandlingsansvarlige en underrettingsplikt og skal sikre at den enkeltes rettigheter blir ivaretatt når personopplysningene deres deles videre med andre virksomheter. Forvaltningsorganet som har innhentet og delt innbyggernes personopplysninger med andre virksomheter, plikter å underrette mottakervirksomheten dersom personopplysningene senere har blitt rettet, slettet, eller har blitt gjenstand for begrenset behandling.64

Økt datadeling kombinert med manuelle rutiner for underretting, kan være krevende å gjennomføre i praksis. Dette kan igjen medføre at underrettingsplikten ikke blir tilstrekkelig ivaretatt. Digitalisering og automatiske løsninger for deling av data gir imidlertid også muligheten for å automatisk underrette, rette eller slette hos virksomheter som har mottatt opplysninger fra den opprinnelige behandlingsansvarlige.

Krav til datakvalitet og informasjonsbehandling

Personvernforordningen fastsetter et prinsipp om at personopplysningene som inngår i en behandling skal være korrekte.65 Kravet til riktighet er av relativ karakter; det går fram av prinsippet at hvorvidt opplysningene er tilstrekkelig korrekte, må vurderes i lys av formålene opplysningene skal behandles for. Det betyr at personopplysninger som tilfredsstiller kravet til korrekthet i én behandling, ikke nødvendigvis vil være tilstrekkelig korrekte for behandling til et annet formål.

Når personopplysninger viderebehandles, og særlig når dette skjer til formål som er uforenlige med det opprinnelige formålet, oppstår en risiko for at personopplysningene ikke er tilstrekkelig korrekte for å oppfylle formålene med den nye behandlingen.

Det er den behandlingsansvarlige som må vurdere om personopplysningene som innhentes til et formål innehar tilstrekkelig datakvalitet. Der slik deling skjer mellom forskjellige behandlingsansvarlige virksomheter, blir det imidlertid særlig viktig at datakvaliteten beskrives godt hos avgiverorganet, slik at mottaker blir satt i stand til å vurdere om opplysningene holder tilstrekkelig kvalitet for den nye behandlingen de skal inngå i. Slike beskrivelser krever godt og systematisk arbeid med informasjonsforvaltning. Informasjonsforvaltning er et viktig og ressurskrevende arbeid, som Personvernkommisjonen mener bør styrkes og prioriteres.

Krav til dataminimering

Personvernforordningen oppstiller et prinsipp om at den behandlingsansvarlige ikke skal behandle flere personopplysninger enn det som er nødvendig for å oppnå formålet med behandlingen. Personopplysningene som inngår i en behandling skal, ifølge forordningen, være «adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for».66

Bruk av fingranulerte løsninger der det er dataelementer heller enn hele dokumenter som deles, gjør det mulig å utveksle opplysninger på en måte som ivaretar plikten til dataminimering. Løsningen Samtykkebasert lånesøknad67 kan tjene som eksempel. Istedenfor at den registrerte leverer hele skattemeldingen til banken, som inneholder langt flere opplysninger enn det banken har behov for i søknadsbehandlingen, kan den registrerte samtykke til at banken innhenter forhånddefinerte datasett direkte fra Skatteetaten. Banken innhenter således bare de opplysningene som er nødvendige for formålet de skal benyttes til.

På den andre siden kan en situasjon der forvaltningen innhenter opplysninger fra en annen virksomhet, i stedet for fra den registrerte selv, i seg selv innebære en risiko for at det organet som tilbyr opplysningene, får informasjon som kan indikere at en person for eksempel er i kontakt med helsevesenet, Nav eller andre etater. Det genereres altså en personopplysning om den registrerte som dette organet ikke har bruk for i sin egen oppgaveløsning, og som virksomheten heller ikke ville hatt dersom den registrerte selv leverte opplysningene til mottakerorganet. Den negative konsekvensen av dette kan i noen grad reduseres ved at delingen skjer automatisk/maskinelt, uten at en saksbehandler er direkte involvert og ser hvor opplysninger om en bestemt person er hentet fra. Dette vil imidlertid ikke avhjelpe det faktum at opplysningene vil befinne seg i avgiverorganets utleveringslogg.

En alternativ løsning som kan gi den registrerte økt innflytelse og medbestemmelsesrett i forbindelse med behandlingen, er å åpne for at den registrerte selv samtykker til hvorvidt opplysningene skal hentes fra en annen virksomhet, eller om den registrerte ønsker å fremskaffe dokumentasjon selv. Personvernkommisjonen mener det bør foretas en vurdering av hvilket handlingsrom personvernforordningen gir for denne type samtykkebasert deling, og hvorvidt det er ønskelig at offentlige virksomheter tilrettelegger for dette.

Retten til informasjon og til å kreve innsyn

Det er et klart uttalt politisk mål at det offentlige Norge i økende grad skal tilby sammenhengende tjenester. Et av kjennetegnene ved slike tjenester er at det ikke er synlig for brukeren at tjenesten, og dermed personopplysninger, flyter gjennom ulike forvaltningsnivåer og forskjellige siloer. Tjenestene skal oppleves som sømløse og sammenhengende, og brukeren skal slippe å forholde seg til forvaltningens interne organisering.68

For at den registrerte skal kunne utøve sin rett til for eksempel innsyn, retting eller sletting, er det viktig å sikre at innbygger har reell mulighet til å orientere seg om hvilken behandling som skjer og hvilken virksomhet som er behandlingsansvarlig. Det vil derfor være nødvendig at de ulike behandlingene, med tilhørende behandlingsansvarlige virksomheter, som inngår i de sammenhengende tjenestene synliggjøres for innbyggeren. God etterlevelse av informasjonspliktene etter personvernforordningen artikkel 12, 13, 14 og 15 blir derfor av stor betydning for at den registrerte har reelle muligheter til å kreve sine rettigheter oppfylt. Åpenhet og informasjon om hvordan offentlige virksomheter behandler personopplysninger er også viktig for å ivareta innbyggernes tillit til myndighetene.

Digitalisering kan gi gode forutsetninger for å utvikle automatiserte løsninger for å håndheve rettigheter. Blant disse er automatiserte innsynsløsninger.

Digitaliseringsdirektoratet har på oppdrag av Kommunal- og distriktsdepartementet utredet muligheten for innsyn i personopplysninger. Direktoratet har gjennomført en mulighetsstudie med mål om å identifisere innsatsområder og tiltak som kan sikre at innbyggerne får oppfylt rettighetene sine etter personvernregelverket. Rapporten fra Digitaliseringsdirektoratet ble publisert i juni 2022. I rapporten foreslår direktoratet flere konkrete tiltak, fordelt over tre innsatsområder, som sammen gir et fundament for videre arbeid med løsninger for innsyn og kontroll. Det første innsatsområdet gjelder oversikt over personopplysninger. Digitaliseringsdirektoratet peker på at innbyggerne må vite hvem man kan henvende seg til, og om hva, for å være i stand til å kreve innsyn etter personvernforordningen. I tillegg vises det til at mange også spør om generell informasjon om hvordan det offentlige behandler og deler personopplysninger, heller enn et konkret innsyn i egne personopplysninger. God oversikt kan derfor bidra til en forståelse som gjør at innsyn ikke alltid er nødvendig. Tiltakene som foreslås skal bidra til økt åpenhet rundt behandling av personopplysninger gjennom å gi innbyggerne oversikt over hvilke personopplysninger som behandles, og hvor i offentlig sektor behandling skjer.

Veiledning og innsyn for innbygger er det andre innsatsområdet. Digitaliseringsdirektoratet erfarer at hverken innbyggere eller virksomheter alltid vet hvor man skal henvende seg eller hvilken type innsyn som passer best til situasjonen. Digitaliseringsdirektoratet foreslår et tiltak for å samle veiledning og muligheten til å be om innsyn på ett sted, og på den måten sette innbyggeren i sentrum. I den sammenheng forelås det videre å etablere en standard for hvordan offentlige virksomhter skal håndtere innsyn.

Det tredje innsatsområdet gjelder innbygernes tilgang til egne personopplysninger. Formålet med disse tiltakene er økt datadeling gjennom å gi innbyggerne tilgang til å bruke egne opplysninger. Et forslag er å definere et sett med kjerneopplysninger som innbygger har varierende grad av råderett over, som førerkort, vitnemål eller inntektsopplysninger.

Digitaliseringsdirektoratets utredning om innsyn og kontroll med hvordan personopplysninger behandles i offentlige virksomheter er svært grundig og god og tiltakene som foreslås treffer godt. Kommisjonen anbefaler at Kommunal- og distriktsdepartementet følger opp utredningen i arbeidet med å tilrettelegge for god ivaretakelse av innbyggernes rettigheter i offentlig forvaltning. Utredningen vil kommenteres ytterligere i kapittel 12, der det refereres til de foreslåtte tiltakene i sin helhet.

6.4.4 Bruk av kunstig intelligens

Personvernkommisjonen anerkjenner at bruken av kunstig intelligens, herunder maskinlæring i forvaltningen kan være et viktig verktøy som bidrar til gode og effektive løsninger. Bruken reiser samtidig en rekke utfordringer knyttet til behandling av store mengder personopplysninger, manglende transparens og kompleksitet, som kommentert i avsnitt 6.2.3.

Personvernkommisjonen mener lovregulering av bruk av kunstig intelligens bør ha som formål å motvirke maktubalansen mellom offentlig forvaltning og innbyggerne. Jo mer inngripende behandlingen er, dess større krav bør en stille til åpenhet og andre rettsikkerhetsmekanismer. Med rettssikkerhetsmekanismer menes regler som er essensielle for å ivareta borgernes rettssikkerhet i en rettsstat. Myndighetene har et ansvar for å utvikle slike tilstrekkelige rettssikkerhetsmekanismer, spesielt på et uavklart område som utfordrer personvernet.

Personvernkommisjonen mener bruk av maskinlæringssystemer i offentlig forvaltning bør forutsette menneskerettighetsvurderinger i tilfeller der systemene kan ha betydelig innvirkning på innbyggernes liv.

6.4.5 Profilering til kontrollformål

I mandatet til Personvernkommisjonen er det trukket frem at kommisjonen bør se nærmere på offentlig forvaltnings viderebehandling av personopplysninger til kontrollformål. Med utgangspunkt i mandatets ordlyd, fikk Mona Naomi Lintvedt i oppdrag fra Personvernkommisjonen å utarbeide en rapport med særlig vekt på bruk av profilering til kontrollformål i offentlig forvaltning.69

Personvernkommisjonen vil understreke at selv om mandatet vektlegger profilering til kontrollformål, betyr ikke dette at det ikke også er personvernutfordringer knyttet til bruk av profilering til andre formål. Profilering basert på maskinlæring anvendes også, som tidligere nevnt, til å målrette og tilpasse goder og tjenester til innbyggere. I tilfeller der maskinlæringssystemer brukes for å velge ut hvem som skal få og ikke få tilgang på goder fra det offentlige, kan det også oppstå problemer, for eksempel ved at individer feilaktig fratas goder de har krav på, eller at de ikke får tilstrekkelig informasjon.

I rapporten skrevet på oppdrag fra Personvernkommisjonen, har Lintvedt blant annet vurdert et utvalg hjemler for innhenting og bruk av personopplysninger til kontrollformål i forvaltningen opp mot kravet om tydelig og presis lovhjemmel i personvernforordningen artikkel 6 nr. 3. Hun har også vurdert om bruk av profilering for utplukk til kontrollformål har rettsvirkning for den enkelte eller på tilsvarende måte i betydelig grad påvirker dem, jf. personvernforordningen artikkel 22 om automatiserte individuelle avgjørelser og profilering.

Lintvedt konkluderer blant annet med at lovhjemlene som gir behandlingsgrunnlag for Skatteetatens og NAVs innsamling av personopplysninger og bruk til profilering, bygger på utilstrekkelige vurderinger av forholdet til Grunnloven § 102 om respekt for privatliv, familieliv, sitt hjem og kommunikasjon. Det er heller ikke gjort tilstrekkelige vurderinger av artikkel 8 i Den europeiske menneskerettighetskonvensjonen (EMK) om respekt for privatliv og familieliv, og personvernhensyn i lys av personvernrettslige prinsipper. Lintvedt finner kun enkle, summariske vurderinger som grunnlag for hjemlene.

Lintvedt påpeker at Grunnloven, EMK og personopplysningsloven innebærer krav til utformingen av lovhjemler. Hvis lovhjemmelen er generelt utformet, er det viktig at vurderinger og nærmere avgrensninger er gjort i forarbeidene. Dessuten må mer detaljerte bestemmelser eventuelt følge av forskrift gitt med hjemmel i loven.

Personvernkommisjonen vil understreke at det er legitime grunner til å forhindre, kontrollere og avdekke misbruk av offentlige ordninger. I den sammenheng kan avanserte dataanalyser og profilering være hensiktsmessige og nødvendige virkemidler. Profilering behøver ikke medføre et stort inngrep. Profilering kan for eksempel anvendes for å forutsi noe om innbyggernes behov for informasjon og veiledning. Når risikovurderinger viser at anvendelser trolig har lite inngripende virkning og stor positiv effekt, vil etterlevelse av det alminnelige personvernregelverket være tilstrekkelig.

Personvernkommisjonen mener at profilering for å avdekke ulovligheter alltid bør sees som en inngripende behandling som krever solid hjemmel i lov, blant annet fordi det alltid er fare for utglidning fra beslutningsstøtte til beslutning (jf. eksempelet fra Nederland omtalt i avsnitt 6.2.5). Det må vurderes om inngrepet (her: profileringen) kan være lovlig etter EMK artikkel 8 andre ledd, herunder om det er «nødvendig av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter eller friheter». Inngrepet må være proporsjonalt i forhold til formålet som ønskes oppnådd og komme til utrykk i klare og forutsigbare rettsregler. Lovkravet innebærer at inngrepet må være hjemlet i nasjonal rett.

Det kan ikke overlates til etatene selv å utforme nærmere kriterier og retningslinjer for innsamling og bruk av personopplysninger for profileringsformål som har inngripende virkninger. At forvaltningen kan innhente nødvendige opplysninger om noe som kan være relevant for bredt formulerte formål, gir i denne sammenheng ikke tilstrekkelig rettsbeskyttelse og forutberegnelighet for innbyggerne.

Personvernkommisjonen mener offentlig forvaltning bør anvende føre-var-prinsippet ved bruk av profilering til kontrollformål. Utstrakt eller uforholdsmessig bruk av profilering til kontrollformål kan ha alvorlige negative effekter på individer og samfunnet, for eksempel i form av ulovlig forskjellsbehandling eller nedkjølingseffekter.

6.4.6 Offentlige aktører og store teknologiselskaper

Teknologimarkedet domineres av noen store selskaper, og flere av selskapene er tungt datadrevne. Dette kan utfordre personvernet. Utfordringene er likevel langt større enn bare hensynet til personvern. Forholdet til store teknologiselskaper berører mange andre rettsområder og demokratiske prinsipper.

I likhet med private aktører, benytter offentlige aktører tjenester fra de store teknologiselskapene. I flere sammenhenger kan dette være positivt. Selskapene leverer ofte tjenester av høy kvalitet og kan være et godt valg for å ivareta sikkerhet.70 Videre kan det gjøre forvaltningen i stand til å møte innbyggerne på de digitale plattformene som innbyggerne benytter. Bruken av store teknologiselskaper medfører imidlertid klare utfordringer for personvernet. Personvernspørsmål og andre spørsmål knyttet til det offentliges bruk av tjenester fra store teknologiselskaper er mange og kompliserte. De er heller ikke begrenset til norsk forvaltning. På EU-nivå arbeides det aktivt med ulike tilnærminger til de store teknologiselskapene.71

I 2021 publiserte Datatilsynet sin interne personvernkonsekvensutredning av om tilsynet kunne være til stede på Facebook.72 I den interne vurderingen ble det lagt til grunn at Datatilsynet ikke kan garantere for at innbyggernes personvern blir ivaretatt på Facebook, og at dette veide tyngre enn tilsynets behov for å kommunisere med innbyggere på plattformen.

Selv om vurderingen ikke er direkte overførbar eller bindende for andre offentlige organer, understreket tilsynet at bruken av gratis verktøy fra teknologigigantene betyr at offentlige virksomheter nærmest inviterer «kommersielle aktører til å samle inn og bruke data om norske innbyggere. Samtidig skapes det et avhengighetsforhold som det kan bli vanskelig å fri seg fra ettersom det finnes få alternative tjenestetilbydere».

I kjølvannet av publiseringen fulgte en rekke andre offentlige organer etter, inkludert Teknologirådet,73 Bioteknologirådet, UDI og Sivilombudet,74 ved å beslutte å avstå fra å bruke Facebook, mens andre, inkludert Politiet og Digitaliseringsdirektoratet, kom til motsatt konklusjon etter å ha gjort egne vurderinger. I sin interne personvernkonsekvensvurdering skriver Digitaliseringsdirektoratet blant annet at «det er liten risiko knyttet til behandlingens art, omfang, formål og sammenheng».75 Vurderingen skiller seg markant fra vurderingene til Datatilsynet. Behovet for å nå ut til og å kommunisere med innbyggerne der de er tilstede ble vektlagt som viktige hensyn for både Politiet og Digitaliseringsdirektoratet.

Grunnen til at forskjellige offentlige aktører har endt opp med vidt forskjellige konklusjoner om bruk av Facebook, inkluderer ulike vurderinger av hvordan Facebook behandler personopplysninger, og om denne behandlingen innebærer risiko. Virksomheter vil også ha varierende behov for å nå ut til befolkningen for å utføre sitt samfunnsoppdrag, som vil påvirke interesseavveiingen. Bruken av sosiale medier bør også vurderes i lys av hvilke befolkningsgrupper virksomheten ønsker å nå ut til, og om dette kan oppnås på andre måter. Det må i alle tilfeller være en forutsetning at offentlige virksomheter har et bevisst forhold til eventuell bruk av sosiale medier, inkludert knyttet til personvernkonsekvenser ved deling av innhold.

Som beskrevet i kapittel 8, oppleves det uansett som lite hensiktsmessig at et stort antall mindre aktører, for eksempel i kommunesektoren, må gjøre helt egne vurderinger av avanserte plattformer og systemer, samt å utrede mulig personvernrisiko. For å sikre høy faglig kvalitet og god ressursbruk er det derfor viktig at forvaltningen samarbeider på tvers av sektorer ved gjennomføringen av nødvendige vurderinger. Dette vil også kunne lette byrden på de mindre aktørene i forvaltningen, som allerede opplever flere av vurderingene som svært krevende.

Personvernkommisjonen mener offentlige virksomheter må gjøre grundige vurderinger av om de skal benytte sosiale medier for å gi informasjon og kommunisere med innbyggerne. Sosiale medier bør ikke brukes i konkret enkeltsaksbehandling.

Personvernkommisjonen mener det er viktig at det gjøres både personvern- og datastrategiske vurderinger når det offentlige benytter tjenester fra store teknologiselskaper. Fordi spørsmålene ofte er likelydende, bør forvaltningen samarbeide på tvers av sektorer og nivåer for å sikre høy faglig kvalitet og god bruk av ressurser.

6.4.6.1 Særskilt om sporing på offentlige nettsteder

Som beskrevet i kapittel 9 om forbrukers personvern, eksisterer det et omfattende marked for innsamling, kjøp, salg og behandling av personopplysninger. Personopplysninger samles inn gjennom digitale tjenester og nettsider ved bruk av sporingsteknologi, som overfører informasjon om nettleserhistorikk, preferanser, demografisk informasjon og mye mer til et potensielt stort antall kommersielle tredjeparter

I 2021 gjennomførte Teknologirådet en undersøkelse av nettsidene til 41 aktører i offentlig sektor.76 Undersøkelsen avdekket at 38 av aktørene anvendte sporingsteknologi fra kommersielle aktører på nettsidene. Det inkluderte deling av personopplysninger med en rekke tredjeparter, inkludert Facebook og Google. I noen tilfeller fant Teknologirådet sporingsteknologi som kan brukes til å lage digitale fingeravtrykk eller ta opptak av brukerens aktiviteter på nettsider.

Teknologirådet beskriver det som et demokratisk problem at offentlige tjenester deler personopplysninger med kommersielle tredjeparter. Ifølge rådet er det som regel vanskelig eller umulig for innbyggerne å forstå hvordan sporingen fungerer, og datadelingen bidrar til å styrke teknologigigantenes monopoler. Innbyggerne har som regel ikke noe annet valg enn å besøke disse nettstedene, og kan dermed ikke velge bort sporingen. Derfor konkluderer Teknologirådet med at offentlige aktører bør avstå fra å bruke kommersiell sporingsteknologi. De anbefaler at offentlige aktører heller betaler for personvernvennlige løsninger for å gjennomføre analyser på sine nettsider.

Personvernkommisjonen støtter Teknologirådets betraktninger og anbefalinger. Offentlig sektor skal ikke betale for analyseverktøy og andre tjenester ved å utlevere innbyggernes personopplysninger, og har et særskilt ansvar for å fremme personvernvennlig teknologi.

Personvernkommisjonen mener offentlig forvaltning må tilgjengeliggjøre informasjon til innbyggerne i digitale løsninger der personopplysninger samles inn og brukes av kommersielle aktører til kommersielle formål, som for eksempel til å bygge og berike profiler eller deles med tredjeparter.

6.4.7 Informasjonssikkerhet

Informasjonssikkerhet blir et stadig større og viktigere område i takt med den økte digitaliseringen av samfunnet. Dette gjelder både for offentlige og private aktører.

Informasjonssikkerhet favner bredere enn personopplysningssikkerhet.77 Informasjonssikkerhetsbrudd i løsninger som behandler personopplysninger, vil imidlertid ofte også medføre brudd på personopplysningssikkerheten. Tiltak som øker den generelle informasjonssikkerheten, vil derfor også kunne bidra til økt personopplysningssikkerhet. Dataangrepet mot Østre Toten i 2021 illustrerer dette, ved at mange av manglene knyttet til personopplysningssikkerhet i den saken også var generelle informasjonssikkerhetsmangler.

I januar 2021 ble Østre Toten kommune utsatt for et dataangrep. Angriperne fikk tilgang til kommunens datasystemer, krypterte all informasjon, og slettet sikkerhetskopiene.78 Hendelsen resulterte blant annet i at kommunens systemer var utilgjengelige for ansatte, som førte til store kostnader og forsinkelser. I etterkant av hendelsen utstedte Datatilsynet et overtredelsesgebyr på fire millioner kroner til kommunen.79 Ifølge tilsynet var det en rekke informasjonssikkerhetsmangler hos kommunen som muliggjorde hendelsen, inkludert fravær av gode sikkerhetsrutiner, logging av tilgang, samt mangel på tofaktorautorisering. Kommunen ble også pålagt å implementere et egnet styringssystem for informasjonssikkerhet og personopplysningssikkerhet.

Fra et overordnet perspektiv er det en utfordring for den generelle informasjonssikkerheten at virksomheter primært har fokus på, og vurderer, sikkerheten i egen virksomhet eller sektor. Dette kan medføre at mindre sårbarheter hos de enkelte virksomhetene samlet kan utgjøre større sårbarheter i et samfunnsperspektiv. På denne bakgrunn understreker Personvernkommisjonen viktigheten av det finnes offentlige nasjonale aktører som også vurderer informasjonssikkerheten samlet på et overordnet, nasjonalt nivå.80

Innbyggerne er avhengige av tjenester fra det offentlige. Innbyggere kan i liten grad påvirke om og hvordan personopplysningene behandles. For å ivareta evnen til å utføre oppgaver og tjenester, ivareta innbyggeres rettigheter og beholde den høye tilliten til offentlig forvaltning, er det særlig viktig å unngå brudd på informasjonssikkerheten i offentlige oppgaver og tjenester, inkludert digitale løsninger og infrastruktur. Viktigheten av god informasjonssikkerhet blir satt på spissen i store nasjonale IT-løsninger som behandler personopplysninger om alle innbyggere i Norge. Det er viktig med tilstrekkelige ressurser for å sikre et tilstrekkelig nivå på informasjonssikkerheten i slike løsninger.

Personvernkommisjonen mener virksomhetene i forvaltningen må få tydeligere anbefalinger (eller «norm») for styringsaktiviteter, og basisnivåer med sikkerhetstiltak og personverntiltak som de kan benytte som utgangspunkt ved styring av risiko for sine oppgaver og tjenester. Veiledning fra ulike myndigheter må henvise til hvilke deler av disse anbefalingene de veileder om, slik at det blir lett for virksomhetene og deres ledelse å benytte anbefalinger og veiledning til å ivareta sitt ansvar. Det må være en målsetning at dette skal gi mer felles sikkerhet på tvers av forvaltningen, og et mer effektivt arbeid med informasjonssikkerhet og personvern i virksomhetene. Dette kan ivaretas gjennom tiltaket «Felles sikkerhet i forvaltningen». Personvernkommisjonen anbefaler at dette tiltaket gis prioritet som et sentralt finansiert tiltak og at statlige virksomheter med tilgrensende ansvarsområder gis oppdrag i tildelingsbrev med å bidra inn dette arbeidet.

6.5 Personvernkommisjonens anbefalinger oppsummert

Helhetlig tilnærming til personvern i offentlig forvaltning

• Personvernkommisjonen mener Stortinget bør sikres større innflytelse på digitaliseringen av offentlig forvaltning og hvilke konsekvenser dette får for innbyggernes personvern. Involvering av Stortinget bidrar blant annet til at beslutninger blir bedre belyst og får bredere forankring.

• Personvernkommisjonen mener tiltak med stor innvirkning på innbyggernes personvern bør hjemles i lov, i stedet for å forskriftsfestes. På den måten får Stortinget muligheten til å ha oversikt over forvaltningens behandling av personopplysninger.

• Personvernkommisjonen mener offentlige forvaltning har et særlig ansvar for å ivareta befolkningens tillit. Dette krever grundige vurderinger av om formålet med viderebehandlingen av innbyggernes personopplysninger er forenelig eller ikke med det opprinnelige innsamlingsformålet og hvor stort inngrep viderebehandlingen innebærer. Disse vurderingene bør offentliggjøres.

• Personvernkommisjonen anbefaler at regjeringen utarbeider en helhetlig personvernpolitikk for offentlig forvaltning. Personvernpolitikken må ses i sammenheng med digitaliseringspolitikken og gi føringer for hvordan forvaltningen skal gjøre prinsipielle vurderinger om personvern og sikre at borgernes personvern ivaretas i løsningene som utvikles. I personvernpolitikken bør regjeringen ha særlig oppmerksomhet på personvernkonsekvensene av mer utstrakt deling og viderebehandling av personopplysninger, og hvordan disse skal vurderes opp mot andre viktige hensyn som effektivisering og rettsikkerhet.

• Personvernkommisjonen anbefaler at regjeringen legger frem en personvernpolitisk redegjørelse for Stortinget årlig, forankret i gjeldende personvernpolitikk.

• Personvernkommisjonen mener det er et behov for et rådgivende og frittstående organ for forvaltningen som særlig skal vurdere og drøfte prinsipielle og generelle spørsmål knyttet til bruk av personopplysninger i offentlig forvaltning, herunder samfunnsmessige og etiske spørsmål.

Utforming av lovhjemler

• Personvernkommisjonen mener vurdering av personvernkonsekvenser i lovarbeid bør inkludere vurderinger av om eksisterende regelverk er tilstrekkelig og om det nasjonale handlingsrommet i personvernforordningen skal anvendes. Nasjonale bestemmelser kan gi klarere og mer utfyllende regler, og dermed større grad av forutberegnelighet for innbyggerne. Det vil også gi bedre grunnlag for å vurdere lovligheten av konkrete behandlinger av personopplysninger.

• Personvernkommisjonen anbefaler at regjeringen vurderer om rådføringsplikten etter personvernforordningen følges i tilstrekkelig grad. En slik vurdering bør også inneholde vurderinger av hvordan rådgivningsplikten kan innrettes for å ikke forsinke lovarbeidet samt føre til en uforholdsmessig stor ressursbelastning for Datatilsynet. Disse vurderingene bør gjøres som ledd i utviklingen av en personvernpolitikk.

• Personvernkommisjonen anbefaler at offentlig forvaltning offentliggjør vurderinger av personvernkonsekvenser i forbindelse med lov- og forskriftsarbeider.

• Personvernkommisjonen mener det er nødvendig å få på plass en forståelig og anvendelig veileder for vurdering av personvernkonsekvenser i lov- og forskriftsarbeid. Veilederen bør legge til rette for at ansvarlig departement kan synliggjøre både personvernkonsekvensene av det tiltaket som innføres isolert sett, og de samlede personvernkonsekvensene av ulike tiltak som allerede er på plass på det aktuelle området.

• Personvernkommisjonen mener veilederen om lovteknikk- og lovforberedelse («lovteknikkheftet») bør oppdateres.

• Personvernkommisjonen anbefaler at offentlig forvaltning styrker personvernkompetansen til ledere, saksbehandlere og andre ansatte som har behov for slik kompetanse. I arbeidet med regelverksutvikling bør det stilles krav til personvernkompetanse i arbeidsgruppen. Kunnskap om personvern bør inngå i den obligatoriske grunnopplæringen til nyansatte saksbehandlere, på lik linje med opplæring i forvaltningsloven og offentleglova.

Deling av personopplysninger mellom forvaltningsorganer

• Personvernkommisjonen anbefaler at ansvarsfordelingen i større grad lov- eller forskriftsfestes der deling av personopplysninger inngår som del av et større samarbeid mellom forvaltningsorganer og hvor uklarhet kan medføre alvorlige personvernkonsekvenser.

• Personvernkommisjonen mener det må utarbeides og videreutvikles standarder for deling av personopplysninger. Dette gjør det lettere å samarbeide, og bidrar til å sikre høyere faglig kvalitet og effektiv ressursbruk.

• Personvernkommisjonen anbefaler at regjeringen utreder om en samtykkebasert gjennomføring av «kun-en-gang’-prinsippet vil kunne avhjelpe noen av personvernulempene som oppstår ved deling av personopplysningen mellom offentlige etater.

• Personvernkommisjonen anbefaler at Kommunal- og distriktsdepartementet følger opp rapporten til Digdir om innsyn og kontroll med hvordan personopplysninger behandles i offentlige virksomheter i arbeidet med å tilrettelegge for god ivaretakelse av innbyggernes rettigheter i offentlig forvaltning.

Bruk av kunstig intelligens

• Personvernkommisjonen mener lovregulering av bruk av kunstig intelligens bør ha som formål å motvirke maktubalansen mellom offentlig forvaltning og innbyggerne. Jo mer inngripende, dess større krav bør en stille til åpenhet og andre rettsikkerhetsmekanismer.

• Personvernkommisjonen mener bruk av maskinlæringssystemer i offentlig forvaltning bør forutsette menneskerettighetsvurderinger i tilfeller der systemene kan ha betydelig innvirkning på innbyggernes liv.

Profilering til kontrollformål

• Personvernkommisjonen mener at profilering for å avdekke ulovligheter alltid bør sees som en inngripende behandling som krever solid hjemmel i lov, blant annet fordi det alltid er fare for utglidning fra beslutningsstøtte til beslutning. Inngrepet må være proporsjonalt i forhold til formålet som ønskes oppnådd og komme til utrykk i klare og forutsigbare rettsregler.

• Personvernkommisjonen mener offentlig forvaltning bør anvende føre-var-prinsippet ved bruk av profilering til kontrollformål. Utstrakt eller uforholdsmessig bruk av profilering til kontrollformål kan ha alvorlige negative effekter på individer og samfunnet.

Offentlige aktører og store teknologiselskaper

• Personvernkommisjonen mener offentlige virksomheter må gjøre grundige vurderinger av om de skal benytte sosiale medier for å gi informasjon og kommunisere med innbyggerne. Sosiale medier bør ikke brukes i konkret enkeltsaksbehandling.

• Personvernkommisjonen mener det er viktig at det gjøres både personvern- og datastrategiske vurderinger når det offentlige benytter tjenester fra store teknologiselskaper. Fordi spørsmålene ofte er likelydende, bør forvaltningen samarbeide på tvers av sektorer og nivåer for å sikre høy faglig kvalitet og god bruk av ressurser.

• Personvernkommisjonen mener offentlig forvaltning må tilgjengeliggjøre informasjon til innbyggerne i digitale løsninger der personopplysninger samles inn og brukes av kommersielle aktører til kommersielle formål, som for eksempel til å bygge og berike profiler eller deles med tredjeparter.

Informasjonssikkerhet

• Personvernkommisjonen mener virksomhetene i forvaltningen må få tydeligere anbefalinger (eller «norm») for styringsaktiviteter, og basisnivåer med sikkerhetstiltak og personverntiltak som de kan benytte som utgangspunkt ved styring av risiko for sine oppgaver og tjenester.

• Personvernkommisjonen anbefaler at regjeringen gir tiltaket «Felles sikkerhet i forvaltningen» prioritet som et sentralt finansiert tiltak. Statlige virksomheter med tilgrensende ansvarsområder gis oppdrag i tildelingsbrev om å bidra inn i dette arbeidet.

7 Personvern i justissektoren

7.1 Innledning

Personvernkommisjonen skal i følge mandatet «se på utviklingen av personvern i justissektoren og identifisere i hvilken grad det samlede omfanget av tiltak skaper utfordringer for personvernet». Dette er en svært vid oppgave, som utvilsomt kunne vært tema for en egen spesifikk utredning. Mandatspørsmålets ordlyd reiser flere spørsmål, til dels av prinsipiell karakter.

I en demokratisk rettsstat må enkeltpersoners rett til selvbestemmelse og frihet balanseres med myndighetenes muligheter til å gripe inn mot individet. Dette kommer ikke minst til syne i justissektoren, hvor kriminalitetsbekjempelse og personvern vil kunne komme i konflikt. Endringer i kriminalitetsbildet, blant annet som en følge av digitaliseringen, gjør at justissektoren har behov for og ønsker å ta i bruk nye verktøy og metoder som til dels kan være svært inngripende. Utviklingen bidrar også til at både strafferettslige og metodemessige lovendringer iverksettes for å kunne håndtere nye utfordringer.

Digitaliseringen fører til at eksisterende tiltak kan bli mer inngripende. Mens etterforskningsmetoder tidligere kunne være begrenset til fysiske inngrep, er det i dag mulig å innhente store mengder informasjon om hele befolkningen ved hjelp av digitale verktøy. Som beskrevet i kapittel 9, blir store mengder informasjon om hver enkelt av oss automatisk registrert gjennom forskjellige sporingsteknologier, blant annet når vi bruker sosiale medier, kommuniserer digitalt, og når vi beveger oss rundt med mobiltelefonen i lommen. Dersom grunnleggende personvernprinsipper ikke ivaretas i tilstrekkelig grad, kan dette bidra til at man går fra målrettede inngrep mot enkeltindivider eller grupper, til at informasjon om store grupper innhentes og analyseres i forsøk på å avdekke kriminalitet. Det er nødvendig med robuste forutgående vurderinger og etterfølgende kontrollmekanismer som sørger for at inngrep i personvernet ikke blir for vidtgående, er proporsjonale og i tråd med lov og forskrift.

Ved bruk av inngripende metoder i justissektoren vil det i mange tilfeller være snakk om å bekjempe alvorlig kriminalitet, inkludert terror, vold, drap og seksuelle overgrep. Dette er formål som gjør at inngrep ofte vil regnes som nødvendige og viktige. Selv om bekjempelse og forebygging av alvorlig kriminalitet utvilsomt er nødvendig, er det en forutsetning at grunnleggende personvernprinsipper ligger til grunn for å sikre forutberegnelighet og rettferdig behandling av personopplysninger. Dette gjelder både for involverte parter i en kriminalsak og for befolkningen som helhet.

De fleste innbyggere har lite kontakt med justissektoren i det daglige. I mange tilfeller vil det være særlig sårbare eller utsatte individer og grupper som er i kontakt med sektoren. Dersom det er snakk om personer som har begrenset evne eller mulighet til å kjenne og ivareta sine personvernrettigheter, er det grunn til å utvise særlig aktsomhet.

I dette kapitlet vil Personvernkommisjonen søke å beskrive spenningen som kan oppstå mellom kriminalitetsbekjempelse og innbyggernes personvern. Disse spørsmålene henger uløselig sammen med forholdet mellom sikkerhet og frihet i et demokratisk samfunn. Forutsetningen må være at kriminalitetsbekjempelse og forebygging skjer på en ansvarlig måte. Retten til privatliv og tilhørende personvern skal stå sentralt i et moderne demokrati. På den annen side skal kriminalitet bekjempes og forebygges. Det er i det spenningsforholdet som kan oppstå her at kommisjonen gjør sine vurderinger.

7.1.1 Definisjoner, avgrensninger og metodologiske utfordringer

Hvilke institusjoner eller oppgaver som hører inn under «justissektoren» vil avhenge av konteksten. I følge Justis- og beredskapsdepartementet finnes det ikke en offisiell definisjon av hvilke institusjoner som hører inn under begrepet.

Politiet, herunder Politiets sikkerhetstjeneste (PST), kriminalomsorgen, påtalemyndigheten og domstolene hører naturlig til justissektor-begrepet. Det samme gjelder Statens sivilrettsforvaltning, Sysselmesteren på Svalbard, Kontoret for voldsoffererstatning, Tilsynsrådet for advokatvirksomhet og Kommisjonen for gjenopptakelse av straffesaker. Den militære etterretningstjenesten er en del av forsvarssektoren og vil dermed ikke bli behandlet direkte i denne rapporten.

Sektorer som vekterbransjen og Tolletaten har enkelte ansvarsområder og arbeidsoppgaver som kan ligne på de som utføres av virksomheter i justissektoren. Kommisjonen avgrenser imidlertid rapporten mot disse, og behandling av personopplysninger og eksempler fra disse områdene benyttes kun der de belyser situasjonen.

Hoveddrøftelsen i kapitlet knyttes til politiet. Kommisjonen har i begrenset grad hatt kapasitet og ressurser til å vurdere de øvrige myndighetsområdene nevnt over og særskilte problemstillinger som kan reises der. Viktigere ved denne avgrensning er at politiet og dets arbeid i særlig grad er illustrerende for de kryssende hensyn som foreligger og den nødvendige vektingen av personvern som alltid må foretas. Med Politiets sikkerhetstjenestes (PST) ansvar for bekjempelse av terror oppstår helt spesielle problemstillinger, ikke minst knyttet til den foreliggende terrortrussel, hvor reell er denne og hvilke tiltak en adekvat bekjempelse fordrer.

Med den tid som sto til disposisjon for kommisjonens arbeid har det ikke vært mulig å gå inn i alle ulike spørsmål knyttet til spesifikke politioppgaver. Personvernkommisjonen har måttet nøye seg med de generelle spørsmål på et aggregert nivå. Det tillegges at som kjent fører Stortingets kontrollutvalg for etterretnings-, overvåknings- og sikkerhetstjeneste (EOS-utvalget) løpende kontroll med PSTs arbeid. Denne kontrollen innbefatter også personopplysningsloven og kontroll av informasjon og behandling av personopplysninger.

Personvernkommisjonen benytter ved flere anledninger begrepet kriminalitetsbekjempelse. I denne sammenheng omfatter begrepet alle aspekter ved kriminalitetsbekjempelse som eksempelvis; forebyggende arbeid, politietterforskning, iretteføring for domstolene, domfellelse og oppfølging i regi av kriminalomsorgen. De ulike aktivitetene har som hovedformål å bekjempe kriminalitet. Kommisjonen har i noe mer begrenset omfang enn forventet fått tilgang til informasjon om hvordan prosedyrer og rutiner for behandling av personopplysninger faktisk praktiseres i de ulike politidistrikt i Norge. Det har også vært utfordringer knyttet til å få innsikt i metodebruk og verktøy som er i bruk eller som vurderes tatt i bruk. Det faktum at det har vært utfordrende å få tilgang til relevante opplysninger, er interessant i seg selv. Kommisjonen ser det som problematisk at det er begrenset offentlig informasjon tilgjengelig om hvilke verktøy politiet anvender i dag eller vurderer å anvende i fremtiden. Dette gjør det vanskelig å bedømme eventuelle personvernkonsekvenser ved metodebruken.

Kommisjonen har også drøftet hvorvidt en kartlegging av ulike tiltak og deres samlede effekt for personvernet har gyldighet over tid. Politiet forventes å være tilpasningsdyktig og igangsette egnede tiltak som svarer på risikobildet i samfunnet slik det til enhver tid foreligger. Vurderinger som kun bygger på et statisk bilde av politiets tiltak i dag, vil fort bli utdatert og dermed miste nytteverdi.

På denne bakgrunn søker kommisjonen å besvare mandatet ved å drøfte rammebetingelsene for at tiltak som politiet kan benytte er i tråd med godt personvern, istedenfor å utrede ulike tiltak hver for seg.

Følgende prinsipielle rammebetingelser vil drøftes;

• Rettslig regulering.

• Grundige vurderinger av personvernkonsekvenser og interesseavveining mot andre samfunnsinteresser.

• Åpenhet om ulike tiltak som politiet har til rådighet.

• Reell internkontroll.

• Effektiv domstolskontroll.

• Reell mulighet til å håndheve personvernrettigheter.

• Adekvat tilsyn og håndheving av regelverket.

Disse prinsipielle rammebetingelsene er avgjørende for reell ivaretakelse av personvernet. Dersom de ikke foreligger er det etter kommisjonens syn nærliggende å anta at personvernet ikke i tilstrekkelig grad kan ivaretas.

7.1.2 Personvern i justissektoren – en rettssikkerhetsgaranti

I den offentlige debatten betones det ofte at det er et grunnleggende spenningsforhold mellom godt personvern og effektiv kriminalitetsbekjempelse, noe som kan føre til ulike former for konflikt. Etter kommisjonens oppfatning er en slik tilnærming for snever. I flere sammenhenger vil en tilstrekkelig kriminalitetsbekjempelse utvilsomt være en forutsetning for godt personvern, ikke minst gjennom oppklaring og iretteføring for domstolene. I mange tilfeller vil også godt personvern kunne bidra til forebygging av kriminalitet, for eksempel ved at kriminelle aktører har mindre tilgang på opplysninger som kan misbrukes til svindel og identitetstyveri.

En nødvendig forutsetning for god kriminalitetsbekjempelse er at grunnleggende interesser balanseres. Ved oppklaring av all alvorlig kriminalitet er det et gjennomgående trekk at viktige hensyn ofte trekker i ulike retninger. Mistenktes interesser kontra hensynene til offeret er et eksempel på dette. Tilsvarende gjelder effektivitet og rettssikkerhet. Det er ingen tvil om at man med enkle grep kan gjøre inngripende tiltak langt mer effektive. I et demokratisk samfunn er begrensningen av slike tiltak likevel nødvendig selv om det i noen tilfeller kan føre til mindre effektiv kriminalitetsbekjempelse. Samfunnet må som sådan ta konsekvensene av å ikke ta i bruk alle tilgjengelige virkemidler for å bekjempe kriminalitet. Det samme vil gjelde dersom virkningene av inngripende tiltak blir for vidtgående.

I en god rettsstat må verdier og kryssende hensyn veies mot hverandre. Hvordan og hvor grundig man utfører en slik interesseavveining, på både systemnivå og i hver enkelt sak, sier noe om rettsstatens kvalitet. I merknadene til politiregisterloven § 1 (lovens formål) heter det: «I de tilfellene der hensynet til personvern og hensynet til kriminalitetsbekjempelsen ikke kan forenes, er utgangspunktet at hensynet til personvernet må vike.» Denne betraktningen, om at bekjempelse av kriminalitet har forrang ved en konflikt med personvernet – selv om det i forarbeidene gis anvisning på en forholdsmessighetsvurdering – er kommisjonen ikke enig i. Hvordan ulike interesser vektes, vil være avgjørende for hvilken løsning som velges. Når interesser står mot hverandre, kan ikke utgangspunktet være at personvernet alltid må vike.

Dersom personvernkrenkelsen som følge av et tiltak er tilstrekkelig alvorlig, må konklusjonen etter Personvernkommisjonens oppfatning være den motsatte; kriminalitetsbekjempelsen skal vike.

7.1.3 Viktigheten av tillit til justissektoren

Tillit er en grunnleggende forutsetning for et fungerende demokrati, og er, som nevnt, nødvendig for at justissektoren skal kunne gjennomføre sine oppgaver. For å ivareta tilliten i befolkningen må sektoren være i stand til å bekjempe og forebygge kriminalitet.

Tillit til justissektoren er også avhengig av at befolkningen har innsikt i hvordan deres grunnleggende rettigheter ivaretas. Dette forutsetter en viss grad av informasjon og åpenhet, både om vurderingene som gjøres og om metodene som benyttes. Det kan imidlertid være utfordrende for justissektoren å utvise åpenhet om vurderinger og metodebruk i konkrete saker. Dersom beskrivelsen av vurderingene som gjøres og metodene som benyttes blir for detaljert, vil dette kunne gjøre effektiv kriminalitetsbekjempelse mer utfordrende. Vidtgående kontrollregimer, uten at det balanseres med en viss grad av åpenhet og rettssikkerhetsgarantier, vil imidlertid over tid utfordre innbyggernes tillit til justissektoren.

Dersom tilliten ikke er til stede, kan det få praktisk betydning for kriminalitetsbekjempelsen. Miljøer eller individer som urettmessig stadig utsettes for undersøkelser og kontroll basert på vidtgående inngrepshjemler, vil ikke ønske å gi informasjon til personell de kontrolleres av. Undersøkelser og kontroll igangsatt av etater man har tillit til, vil derimot oppleves annerledes. En kriminalitetsbekjempende organisasjon som forvalter og ivaretar grunnleggende menneskerettigheter, vil enklere få tilgang til nødvendige opplysninger.

7.2 Rettslig regulering av personvern i justissektoren

Det sentrale personvernregelverket for politi og påtalemyndighet er politiregisterloven med tilhørende politiregisterforskrift81 og personopplysningsloven. Politi og påtalemyndighet må derfor forholde seg til to regelsett som direkte regulerer behandling av personopplysninger, i tillegg til en rekke andre lovverk. De senere år er det blitt gjennomført en rekke lovendringer som skal tilrettelegge for kriminalitetsbekjempelse i det digitale samfunnet. Dette stiller krav til kompetanse og krever at sektoren er oppdatert på regelverket. I det følgende vil Personvernkommisjonen se nærmere på de mest sentrale regelverkene for sektorens behandling av personopplysninger. Rettighetene i EMK artikkel 8 og adgangen til å gjøre inngrep i disse, vil omtales kort. Kommisjonen behandler i tillegg domstolskontroll med politiets tiltak. I tillegg vil kommisjonen gi en kort oversikt over hvordan personopplysninger behandles i politiet, domstolene og kriminalomsorgen.

7.2.1 Kort om artikkel 8 i EMK og adgangen til å gjøre inngrep

EMK artikkel 8 oppstiller et generelt vern om privat- og familieliv, hjem og korrespondanse. Retten til privatliv er imidlertid ikke absolutt, siden begrepet «respect» gir anvisning på at privatlivet skal respekteres, ikke at det foreligger et totalforbud mot inngrep i denne rettigheten, jf. EMK artikkel 8 nr. 1. Inngrep i rettighetene som er nedfelt i første ledd kan være lovlige dersom de er «nødvendig av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forbygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter eller friheter» jf. EMK artikkel 8 nr. 2.

Menneskerettsdomstolen (EMD) har omfattende praksis for tolkning av disse kriteriene. Det må vurderes om tiltaket som griper inn i personvernet er forsvarlig og nødvendig i et demokratisk samfunn. Inngrepet må dessuten være proporsjonalt i forhold til formålet som ønskes oppnådd, og komme til utrykk i klare og forutsigbare rettsregler. Lovkravet innebærer at inngrepet må være hjemlet i nasjonal rett.82

Når EMD vurderer hvorvidt staten kan holdes ansvarlig for en krenkelse av EMK artikkel 8, er det flere forhold som spiller inn. Først må det bringes på det rene hvorvidt forholdet angår noens privatliv. Videre vil domstolen undersøke hvorvidt fakta i saken indikerer at det har skjedd et inngrep i retten til privatliv. Domstolen har gjennom sin praksis trukket frem mange ulike forhold som griper inn i retten til privatliv: familievold som truer kroppslig integritet,83 forhold knyttet til seksuelle og reproduktive rettigheter,84 medisinsk behandling uten samtykke,85 og til og med forhold knyttet til forurensning og retten til et ikke-helseskadelig miljø86 såfremt de innvirker på ens helse eller livskvalitet.87

Når det gjelder retten til personvern ved behandling av personopplysninger, har ulike forhold knyttet til innhenting av personopplysninger,88 lagring av opplysninger,89 tilgjengeliggjøring eller utlevering90 blitt vurdert som inngripende i retten til privatliv. På samme måte, har domstolen behandlet saker der en person er blitt nektet tilgang til personopplysninger, eller ikke har fått mulighet til å korrigere eller slette personopplysninger, og har drøftet hvorvidt slike begrensninger kan rettferdiggjøres eller ikke.

Selv om slike ovennevnte forhold griper inn i noens private sfære, betyr ikke det automatisk at domstolen oppfatter disse som krenkelser av privatlivet, det vil si som ulovlige inngrep. Det foretas en grundig vurdering for å konkludere om dette.

Det tredje og utslagsgivende steget i domstolens vurdering, er hvorvidt inngrepet er «akseptabelt» etter kravene i 2. ledd, det vil si hvorvidt de er i samsvar med loven, er nødvendige og forholdsmessige.

Når det gjelder politiets bruk av tvangsmidler, må det foretas en konkret vurdering av blant annet inngrepets varighet og intensitet, hvilken mistankegrad som foreligger, om overvåkningen fant sted åpent eller skjult, om informasjonsinnhentingen skjedde systematisk og permanent, og på hvilken måte beslutningen om overvåkning ble fattet. Helhetsvurderingen rommer på dette grunnlag viktige personvern- og rettsikkerhetsvurderinger. For at tvangsmiddelbruk ikke skal innebære en krenkelse av privatlivet, må inngrepet oppfylle vilkårene i EMK artikkel 8 nr. 2.

7.2.2 Politiregisterloven

Politiet behandler personopplysninger etter flere regelverk, avhengig av hva som er formålet med behandlingen. I det følgende vil kommisjonen kort redegjøre for politiregisterlovens bestemmelser for behandling av personopplysninger i politiet.

Politiregisterloven har som formål å «bidra til effektiv løsning av politiets og påtalemyndighetens oppgaver, beskyttelse av personvernet og forutberegnelighet for den enkelte ved behandlingen av opplysninger».91 Loven regulerer blant annet behandling av personopplysninger i politiets 19 registre. Politiregistrene inkluderer blant annet DNA-registeret, fingeravtrykkregisteret, fotoregisteret, straffesakregisteret, utlendingsregisteret, personidentitetsregistret og hvitvaskingsregisteret.

Kripos har behandlingsansvar for 17 registre, mens Politiets utlendingsenhet og Økokrim har ansvar for ett register hver. Den behandlingsansvarlige enheten skal sørge for at behandlingen skjer i henhold til reglene for blant annet informasjonssikkerhet, internkontroll og bruken av registrene.

Politidirektivet, politiregisterloven og tilhørende forskrift stiller ulike krav til om personopplysninger kan behandles, hvordan slike opplysninger skal behandles og hvilke vurderinger politiet skal gjøre for å ivareta personvernet. Hjemlene åpner for at politiet kan utøve skjønn med tanke på hvorvidt hjemlene kan tas i bruk i en konkret sak og hvilke rettsikkerhetsgarantier som skal iverksettes.

Det er Datatilsynets ansvar å føre tilsyn med behandlingen av personopplysninger i politiet og påtalemyndigheten.92 Unntakene er opplysninger som behandles av Politiets sikkerhetstjeneste (PST), og politiets behandling av saker om kommunikasjonskontroll.93 Se nærmere omtale av Datatilsynets tilsynskompetanse i kapittel 13.

Politiregisterloven inneholder egne bestemmelser om behandling av personopplysninger i PST. Generelt kan det sies at PST har et større spillerom ved behandling av personopplysninger enn det ordinære politiet har. PST er i tillegg unntatt fra Datatilsynets tilsynskompetanse. Kompetanse til å føre tilsyn med PSTs behandling av personopplysninger ligger i stedet hos Stortingets eget kontrollutvalg for de hemmelige tjenestene (EOS-utvalget).

Behandlingsansvaret for politiets behandling av personopplysninger er fordelt på ulike instanser avhengig av formålet med behandlingen. Kripos er, som tidligere nevnt, behandlingsansvarlig for 17 av de totalt 19 sentrale registrene, et ansvar de er tildelt gjennom forskrift.94 De ulike politidistriktene er imidlertid behandlingsansvarlig for personopplysninger knyttet til straffesaker som behandles ved de respektive distriktene.95 Personopplysninger som behandles i politiets forvaltningsvirksomhet og for sivile gjøremål, og som faller under personvernforordningens virkeområde, er under Politidirektoratets behandlingsansvar. Kripos er behandlingsansvarlig for personopplysninger som blir behandlet etter lov om Schengen informasjonssystem (SIS).96 PST er selv behandlingsansvarlig for behandling av personopplysninger i forbindelse med tjenestens arbeid, herunder å forebygge straffbare forhold, utarbeidelse av trusselvurderinger og samarbeid med andre lands politi- og sikkerhetsmyndigheter.97

Det følger av politiregisterloven § 63 at det skal etableres en ordning med personvernrådgiver. Betegnelsen personvernrådgiver ble benyttet fordi begrepet personvernombud, i følge justisdepartementet, ville «by på utfordringer i forholdet mellom rollebetegnelse og rollekompetanse».98

Personvernrådgiverens oppgaver samsvarer i stor grad med et personvernombuds oppgaver etter personvernforordningen.99 I følge politiregisterforskriften skal personvernrådgiveren påse at det finnes systemer for internkontroll, påpeke brudd, gi råd og veiledning og bistå de registrerte. Det kan se ut som om personvernrådgiveren ikke skal ha samme kontrollfunksjon som personvernombudet har etter personvernforordningen.100 Av forarbeidene fremgår at personvernrådgiverens rolle skal «være både rådgivende og kontrollerende i forhold til den behandlingsansvarlige og den enkelte som behandler opplysningene».101

Oslo politidistrikt, Kripos, Politihøgskolen og Økokrim har egne personvernombud etter personopplysningsloven. I tillegg til dette har alle andre enheter i politiet et felles personvernombud i Politidirektoratet. Dette personvernombudet skal ha en kontaktperson for personvern i alle de øvrige politidistriktene og særorganene.102 I tillegg til dette finnes det personvernrådgivere i hvert distrikt.

Personvernrådgiverne i politiet behandler saker som gjelder personvern i de enkelte politidistriktene. Personvernrådgiverne bidrar også med innspill om ivaretakelse av personvernet ved utvikling av nye politimetoder, og i arbeid på strategisk nivå der personvernspørsmål er relevant.

7.2.2.1 Forholdet mellom politiregisterloven og personopplysningsloven

Etter personvernforordningen skal personopplysninger behandles for uttrykkelige angitte formål og ikke viderebehandles for formål som ikke er forenlige med det opprinnelige formål.103 Politiregisterloven er basert på samme prinsipper og fastslår at opplysninger bare kan behandles dersom dette er nødvendig og relevant for nærmere angitte formål, jf. politiregisterloven §§ 4 og 5. Etter politiregisterloven § 4 kan imidlertid personopplysninger også behandles for «andre politimessige formål», i tillegg til det opprinnelige formålet med innhentingen.104 Politimessige formål omfatter politiets kriminalitetsbekjempende virksomhet, herunder etterforskning, forebyggende arbeid og ordenstjeneste, politiets service- og bistandsfunksjon, samt føring av vaktjournaler.105

Bestemmelsen i politiregisterloven § 4 gir uttrykk for at opplysningene som hovedregel kan brukes fritt innenfor de ulike politimessige formålene. Dette innebærer for eksempel at opplysninger innhentet i forbindelse med etterforskning kan brukes til politiets bistands- og servicefunksjon og vice versa.

Tilgang til opplysninger i politiet gis til tjenestepersoner i politiet og påtalemyndigheten med et «tjenestemessig behov» for tilgang, og til formål som omfattes av politiregisterloven, jf. politiregisterloven § 21 jf. politiregisterforskriften § 8-3. Vilkåret «tjenestemessig behov» vil være oppfylt dersom tjenestemannen vil settes i stand til å treffe en riktigere eller mer begrunnet avgjørelse, eller utføre en mer effektiv og hensiktsmessig tjeneste, enn om vedkommende ikke hadde hatt tilgang til opplysningene, jf. politiregisterforskriften § 8-3 annet ledd. Dette innebærer at politiet har et betydelig rom for å benytte opplysninger som er innhentet i forbindelse med for eksempel servicefunksjonen i en senere etterforskning, dersom dette anses som nødvendig.106 Til tross for at bestemmelsene som omhandler tjenestemessig behov har rom for skjønnsmessige vurderinger, danner prinsippene om formålsbestemthet og nødvendighet rammene for hvilken bruk som faller innenfor regelverkets rammer.

Beslutningskompetansen til å utlevere opplysninger følger av politiregisterforskriften § 11-2. For registrene Kripos er behandlingsansvarlig for er adgangen i mange tilfeller delegert ut til enhetene i politiet, som igjen kan delegere ned til tjenestepersonnivå i lokale rutiner. Politiregisterforskriften § 11-2 siste ledd definerer i hvilke tilfeller den enkelte tjenestemann alltid kan beslutte utlevering eller bruk av opplysninger. Det er Politidirektoratet eller riksadvokaten som beslutter eventuell utlevering av opplysninger til forskning, jf. politiregisterloven § 33 annet ledd jf. politiregisterforskriften § 11-2 annet ledd.

Behandling av personopplysninger i etterforskningssammenheng107 reguleres også av straffeprosessloven. Det er flere bestemmelser i straffeprosessloven som omhandler innhenting, håndtering og utlevering av personopplysninger. Slik virksomhet faller utenfor personvernforordningens materielle virkeområde.108 Behandling av personopplysninger med grunnlag i politiets forvaltningsvirksomhet og sivile gjøremål omfattes av personopplysningsloven og personvernforordningen.109

7.2.3 Domstolskontroll

I Personvernkommisjonens vurderinger av i hvilken grad det samlede omfang av tiltak innenfor sektoren skaper særskilte utfordringer for personvernet, må rettssikkerhetsmekanismene som ligger innebygd i lovverket berøres kort. Dette gjelder særlig domstolskontroll.

Alle tvangsmidler krever hjemmel i lov. Legalitetsprinsippet som følger av Grunnloven110 inneholder et klarhetskrav for å kunne anvende straff (ordlyden må være presis) og et analogiforbud (loven kan ikke anvendes på tilfeller som ikke omfattes). Når det gjelder beslutningskompetanse, er det nærmere regulert i lov om kompetansen ligger til polititjenestemenn, påtalemyndigheten i politiet eller domstolene, og for hvilke tvangsmidler, og i hvilke situasjoner kompetansen skal gjelde. Jo mer inngripende et tiltak er, desto strengere er kravene til kontroll før tiltaket iverksettes.

Politiets fullmakter er utvilsomt utvidet de senere år, ikke minst i sammenheng med frykten for alvorlige terrorangrep, også på norsk jord. Politiske beslutningstakere har en forventning om at slike angrep blir forhindret, samtidig som rettssikkerhet, herunder den enkeltes personvern, skal ivaretas. Dette handler om å balansere ulike hensyn som trekker i forskjellige retninger, nulltoleranse for terrorangrep på den ene siden og ønsket om å bevare rettsstaten tuftet på demokratiske verdier på den annen.

Domstolskontroll er den sikreste mekanismen for å kontrollere at lover ikke gis for vid anvendelse. Hensikten er å hindre formålsutglidning, og at rettsstatens fundament ikke blir rokket ved. Som tidligere fremhevet, er det et generelt vilkår for bruk av tvangsmidler at anvendelsen ikke fremstår som et uforholdsmessig inngrep, og dette gjelder uavhengig av om det er politiet, påtalemyndigheten eller domstolen som har kompetansen til å beslutte bruk av det aktuelle tvangsmiddel. Domstolskontroll sikrer også kontradiksjon og at den mistenkte/siktede har nødvendig rettslig bistand.

7.2.4 Behandling av personopplysninger i domstolene og kriminalomsorgen

Domstolene og kriminalomsorgen behandler personopplysninger til ulike formål, basert på ulike lover, forskrifter eller instrukser. I det følgende gis det en kort og summarisk oversikt over relevant regelverk.

7.2.4.1 Domstolene

Domstolene behandler personopplysninger både ved forvaltningsmessige formål og i forbindelse med dømmende virksomhet. Forvaltningsmessige formål omfatter for eksempel å besvare generelle henvendelser fra publikum, oppbevaring av testamenter og administrering av aktører i rettssystemet som meddommere, tolker og bistandsadvokater. Behandling av personopplysninger for forvaltningsmessige formål i domstolen reguleres av personopplysningsloven.

Dømmende virksomhet er unntatt fra personopplysningslovens virkeområde, og reguleres blant annet av domstolloven, straffeprosessloven og tvisteloven.111 Arkivloven regulerer hvordan opplysningene skal lagres og når de skal slettes.112

Domstolsadministrasjonen (DA) ved direktøren er behandlingsansvarlig for DAs behandling av personopplysninger. Hver domstol utgjør en egen selvstendig organisasjon. Det er dermed den enkelte domstol som er behandlingsansvarlig for behandlingen av personopplysninger i forbindelse med den enkelte domstols dømmende virksomhet. For ikke-dømmende virksomhet i den enkelte domstol, har Domstolsadministrasjonen og den enkelte domstol felles behandlingsansvar.113

Det er oppnevnt et felles personvernombud for domstolene, Domstolsadministrasjonen og andre tilhørende organer. Personvernombudet er ombud for behandlingen av personopplysninger som omfattes av personvernforordningen, det vil si oppgaver av forvaltningsmessig karakter. Behandling av personopplysninger i forbindelse med domstolenes dømmende virksomhet faller utenfor personvernombudets arbeidsområde.

7.2.4.2 Kriminalomsorgen

For behandling av personopplysninger i kriminalomsorgen gjelder personopplysningsloven med utfyllende regler fastsatt i straffegjennomføringsloven.114 I tillegg er det særlige regler for behandling av personopplysninger i IT-systemet INFOFLYT.115 Dette systemet deler informasjon med politiet og gir kriminalomsorgen behandlingsgrunnlag til slik deling av personopplysninger.116

Kriminalomsorgen består i dag av kriminalomsorgsdirektoratet, regionalt nivå, og lokale enheter (fengsel, overgangsbolig og friomsorgskontor), samt kriminalomsorgens it-tjeneste. Det følger ikke eksplisitt av straffegjennomføringsloven hvilket organ innad i kriminalomsorgen som har behandlingsansvar. Det følger av forarbeidene til loven at behandlingsansvaret bør plasseres der behandling skjer og at den konkrete oppgavefordelingen må fastsettes i forskrift eller lov.117 Videre kan det daglige behandlingsansvaret i følge forarbeidene delegeres. Det finnes ingen forskrift som fastsetter slik oppgavefordeling som nevnt i forarbeidene. I følge personvernerklæringen på kriminalomsorgens hjemmesider er det Kriminalomsorgsdirektoratet som har behandlingsansvar for behandling av personopplysninger i kriminalomsorgen.118 I september 2021 sendte Datatilsynet en forespørsel til Kriminalomsorgsdirektoratet om utredning av behandlingsansvaret innenfor Kriminalomsorgen. Direktoratet ble pålagt å utarbeide en behandlingsprotokoll, samt å fremlegge internkontroll og dokumentasjon som viser hvordan behandlingsansvaret er plassert i hele etaten.119 Datatilsynet gjennomførte deretter tilsyn med Kriminalomsorgsdirektoratet i november 2021.

Kriminalomsorgen er sammensatt og en stor sektor med 58 operative fengsler og rundt 5000 ansatte. Som nevnt i forarbeidene skal behandlingsansvar legges der behandlingen skjer, men det synes som det utelukkende er kriminalomsorgsdirektoratet som står som behandlingsansvarlig. Hjemmesidene til de ulike fengslene har ingen informasjon om behandlingsansvar. Justis- og beredskapsdepartementet har varslet at de er i gang med arbeidet med ny lov om behandling av personopplysninger ved straffegjennomføring. Personvernkommisjonen stiller spørsmål om kriminalomsorgen har foretatt relevante og nødvendige vurderinger for å avklare og plassere behandlingsansvaret for behandling av personopplysninger om innsatte.

Personvernkommisjonen mener Justis- og beredskapsdepartementet i arbeidet med ny lov om straffegjennomføring, bør tydeliggjøre behandlingsansvaret i kriminalomsorgen og legge ansvaret til den virksomhet som utfører den faktiske behandlingen av personopplysninger.

Straffegjennomføringsloven regulerer Datatilsynets tilsynskompetanse overfor kriminalomsorgen. Dersom det er besluttet unntak fra innsynsretten av kriminalomsorgen eller politiet, skal kriminalomsorgen ikke tilkjennegi at det foreligger registrering og Datatilsynet kan heller ikke gi pålegg om innsyn.120 Datatilsynets tilsynskompetanse er dermed noe begrenset sammenlignet med kompetansen gitt etter personopplysningsloven og personvernforordningen.

7.3 Utviklingstrekk som påvirker personvernet

Den gjennomgående digitaliseringen av samfunnet, og den omfattende mengden av data som samles og brukes, har hatt stor påvirkning på justissektoren. Utviklingen åpner for informasjonsinnhenting i stor skala, samtidig som nye analysemetoder bidrar til at politiet kan arbeide på nye måter.

Parallelt med digitaliseringen har det også blitt gjennomført en rekke lovendringer som skal tilrettelegge for kriminalitetsbekjempelse i det digitale samfunnet. Sammensetningen av nye metoder for kriminalitetsbekjempelse og utvidede lovhjemler for informasjonsinnhenting kan sette personvernet under press. Det gjelder for mistenkte og pårørende i straffesaker, men også for utenforstående og samfunnet som helhet. Nedenfor vil Personvernkommisjonen søke å gjøre rede for denne utviklingen, og belyse hvordan den påvirker personvernet. Mer inngående drøftelser av personvernutfordringene gjøres i avsnitt 7.4.

7.3.1 Endringer i kriminalitetsbildet

Kriminalitetssituasjonen er i stadig endring, og i likhet med andre deler av samfunnet flytter kriminaliteten seg i mange tilfeller over i digitale flater.121 I politiets trusselvurdering 2022 beskrives det digitale trusselbildet som utfordrende, og et økende omfang av blant annet datainnbrudd, spredning av overgrepsmateriale, løsepengevirus og ekstreme ytringer omtales som noen av de mest alvorlige digitale truslene.122 Politiet må etterforske både lokale saker og saker med internasjonale forgreininger eller opprinnelse.

Arbeidet for å forhindre og oppklare seksuelle overgrep mot barn over internett har blitt prioritert av norsk politi i den senere tid. Det er et kriminalitetsområde som er i konstant økning blant annet fordi bilder og film med overgrep mot barn ikke blir borte. Materialet deles igjen og igjen, og øker i omfang. Det er uvisst hvor stort omfanget av denne kriminaliteten er, men det kan legges til grunn at det er omfattende. Oppdagelsesrisikoen er dessuten lav.123 Etterforskning av denne typen saker er et område hvor personvernet kommer under særlig press, da formålet om å bekjempe seksuelle overgrep mot barn fordrer bruk av potensielt svært inngripende metoder.

Økning i saker som gjelder digital kriminalitet krever økte ressurser og spesialkompetanse. Etterretning og avdekking, forebygging, metode- og regelverksutvikling, samt etterforskning og iretteføring av digital kriminalitet forutsetter en effektiv organisering av arbeidet i politiet, og tett samarbeid med andre relevante aktører i samfunnet.124

Det endrede kriminalitetsbildet merkes også i domstolene. Teknologiutviklingen har ført til at nye sakstyper er kommet til og at mer tradisjonell vinningskriminalitet synes å bli erstattet av nettbasert kriminalitet. Det samme gjelder omfattende seksuallovbruddsaker der de straffbare forholdene er utført på nett.125

7.3.2 Økt internasjonalt samarbeid

Økt kriminalitet på tvers av landegrenser som følge av digitaliseringen, øker behovet for internasjonalt samarbeid. Dette gjelder særlig politiarbeidet. Ofte er for eksempel lagringsenhetene hvor relevante opplysninger ligger lagret, den kriminelle aktøren og offeret lokalisert i forskjellige land. Derfor er forebygging og bekjempelse av kriminalitet nasjonalt og lokalt i mange tilfeller avhengig av at norsk politi bidrar til og deltar i internasjonalt samarbeid.126 Utlevering av personopplysninger til andre aktører og mottakere i utlandet er en naturlig del av dette samarbeidet.127 På tvers av landegrensene skjer samarbeidet i praksis gjennom en av flere formaliserte mekanismer, som for eksempel gjennom EUROPOL eller INTERPOL. Ved deltagelse i internasjonalt samarbeid er det en forutsetning at nasjonale lover og regler følges.

EUROPOL ble etablert i 1999 og ga grunnlag for samarbeid mellom EU-landene i møte med transnasjonal kriminalitet. Norge har hatt en samarbeidsavtale med EUROPOL siden 2001. Behandling av personopplysninger som en del av EUROPOL-samarbeidet reguleres gjennom EU-forordning 2016/794.128

INTERPOL er det eneste verdensomspennende politisamarbeidet, med 194 medlemsland.129 Det ligger ingen folkerettslig bindende konvensjon til grunn for organisasjonen, men vilkåret for å bli medlem, er at landet anerkjenner FNs menneskerettserklæring. INTERPOLs fremste oppgave er å formidle informasjon, bistandsanmodninger og rettsanmodninger mellom medlemslandenes myndigheter.

7.3.3 Nye verktøy og metoder

Digitaliseringen av kriminalitetsbildet innebærer at justissektoren må ta i bruk nye verktøy og metoder for å kunne oppfylle sitt samfunnsoppdrag og sørge for effektiv kriminalitetsbekjempelse.130 Teknologiutviklingen skaper nye muligheter for å oppnå tryggere, raskere og mer effektiv kriminalitetsbekjempelse. Samtidig har teknologiutviklingen ført til at det registreres enorme mengder informasjon om samtlige innbyggere. Tilgangen og muligheten til å analysere denne informasjonen vil være relevant for justissektorens arbeid i flere sammenhenger. Samtidig er det behov for sterke juridiske, tekniske og organisatoriske kontrollmekanismer for å sørge for at bruken av informasjonen skjer innenfor forsvarlige rammer.

Hvordan ulike land anvender nye teknologier, under hvilke premisser, og med hvilke rettsikkerhetsgarantier, er et rettspolitisk spørsmål. Mange av metodene andre land allerede har tatt i bruk i arbeidet med kriminalitetsbekjempelse, vil det før eller siden også bli reist spørsmål ved om vi bør anvende i Norge. Bruk av kraftigere verktøy kan føre til at metodebruken blir mer inngripende i innbyggernes personvern, ikke bare for parter i en sak, men for befolkingen i sin helhet. Dette gjelder særlig dersom innsamlede opplysninger vurderes som relevant for oppgaveløsning utenfor innsamlingsformålet og i nye kontekster, eller ved omfattende datainnsamling om store deler av befolkningen som en del av et analysearbeid.

En effektiv justissektor er avhengig av tilgang til store mengder informasjon fra mange ulike kilder, for å fatte kunnskapsbaserte og godt begrunnede beslutninger. Informasjon benyttes til å understøtte beslutninger for å forebygge og bekjempe kriminalitet, blant annet for å vurdere antatt farepotensiale, eller i utvelgelse av tiltak, for eksempel å ilegge en fengselsstraff. Innhenting av informasjon skjer for eksempel som et ledd i etterforskning, der politiet sammenstiller og danner et bilde av en trussel eller en kriminell handling. Dette kan innebære inngrep i borgernes rett til personvern, som drøftet nedenfor i avsnitt 7.4.5.

7.3.4 Politiske føringer – utvidelser av politimyndighetenes inngrepsmuligheter

Det er en overordnet politisk målsetning og en samfunnsmessig forventning at politiet og påtalemyndighetene skal være i stand til å bekjempe og forebygge alvorlig kriminalitet. I takt med teknologiutviklingen dukker det jevnlig opp nye situasjoner som gjør det krevende for politiet å utføre sitt arbeid, for eksempel ved at en ny teknologi gjør det vanskeligere å avdekke kriminelle nettverk. Når slike situasjoner oppstår, vil det ofte innebære ønsker om nye eller utvidede hjemler for å sette politiet i stand til å utføre sine oppgaver i det endrede teknologilandskapet. For eksempel har det ved gjentatte tilfeller vært diskutert om politiet bør ha tilgang på såkalte bakdører inn i krypterte meldingstjenester, da teknologien gjør det mulig å skjule alvorlig kriminalitet. Samtidig kan slike bakdører skape nye sårbarheter, da disse kan misbrukes av andre aktører.131

Det har vært en utvikling over tid med utvidelser av politimyndighetenes hjemler til å bedrive skjult kontroll med, og overvåkning av, blant annet borgernes elektroniske kommunikasjon. Utvidelsene har i stor grad kommet stykkevis og delt. Dette har trolig medført at hverken myndighetene eller borgerne har vært i stand til å overskue sammenhengen mellom alle de ulike hjemlene og konsekvensene av utvidelsene.

Reguleringen er spredt over flere lover, og kan være utfordrende å få oversikt over. Enkelte hjemler finnes i politiloven, andre i straffeprosessloven. Hjemlene er knyttet til forebygging og/eller etterforskning av straffbare handlinger, som igjen er regulert og definert i straffeloven.

Når det gjøres enkeltstående endringer i lovgivningen er det komplisert å få oversikt over konsekvenser, herunder konsekvenser for personvernet. Mangel på oversikt kan videre føre til at det blir vanskeligere å sørge for solid demokratisk kontroll over lovprosessene.

Ulike EU-regelverk legger også en rekke politiske føringer for justissektoren, som kan ha personvernkonsekvenser for norske innbyggere. Disse føringene behandles ikke inngående her. Personvernkommisjonen trekker kun frem et eksempel for å illustrere at utviklingen på europeisk nivå også kan legge press på personvernet. I mars 2022 la Europakommisjonen frem forslag til en ny lov som har som formål å oppdage og stoppe spredning av overgrepsmateriale av barn på nett.132 I lovforslaget legges det blant annet vekt på at tjenestetilbydere må avdekke om deres tjenester brukes til spredning av overgrepsmateriale, og rapportere dette til nasjonale politimyndigheter. Flere eksperter på personvern og IKT-sikkerhet har varslet om at forslaget kan innebære at all privat digital kommunikasjon blir gjenstand for skanning. Dette kan undergrave muligheten til konfidensiell kommunikasjon på nett.133

Politiske føringer for det europeiske politisamarbeidet gjennom EUROPOL kan også skape personvernutfordringer. I 2020 avdekket datatilsynsmyndigheten for EU-organene (EDPS) i et tilsyn at EUROPOL mottar stadig større mengder personopplysninger fra politiet i medlemslandene og at behandlingen av disse opplysningene ofte er i strid med personvernregelverket.134 Det kom blant annet fram at EUROPOL mottar store mengder overskuddsinformasjon fra medlemslandene. Dette er informasjon som de ikke har adgang til å lagre og behandle i henhold til forordning 2016/794,135 men som de heller ikke har mulighet til å filtrere bort eller avvise å ta imot, idet den er sendt ut av politiet i et medlemsland. I følge tilsynsrapporten stiller dette høye krav til bevissthet og kunnskap fra samarbeidende medlemsland. I tillegg bør det foreligge en mulighet for disse til å filtrere bort irrelevant informasjon før den lastes opp i EUROPOL sine datasystemer. EDPS anbefaler videre at EUROPOLs rolle som databehandler for politiet i medlemslandene avklares og formaliseres.

I 2022 kom det fram at Rådet i EU har lagt fram et forslag om lovendringer for å utvide EUROPOLs muligheter til å behandle store mengder personopplysninger, i strid med anbefalingene fra EDPS.136 Dette har blitt kritisert som en inngripende utvidelse av EUROPOLs mandat som tilsidesetter EDPS sin autoritet som tilsynsmyndighet.137 En mulig følge av forslaget vil være at stadig flere personopplysninger om europeiske innbyggere vil kunne behandles i grensekryssende etterforskningssaker.

Personvernkommisjonen mener funnene EDPS har avdekket om at EUROPOL mottar store mengder personopplysninger fra politiet i medlemsland, må følges opp av norske myndigheter for å sikre at personvernet til norske innbyggere blir ivaretatt når politiet overfører opplysninger til EUROPOL. Kommisjonen antar at tilsvarende problemstillinger kan foreligge i andre sammenhenger hvor opplysninger utveksles mellom politimyndigheter, for eksempel mellom Norge og INTERPOL, og dette også må følges opp.

7.4 Personvernutfordringer i justissektoren

I noen tilfeller vil det, som nevnt ovenfor, være et spenningsforhold mellom formål knyttet til kriminalitetsbekjempelse og -forebygging, og innbyggernes rett til personvern. Aktører i justissektoren vil kunne ha et ønske om å kunne ta i bruk nye metoder og verktøy for å utføre sine samfunnsoppdrag, og dette kan ha effekter på personvernet til både parter i en bestemt sak, individer som ikke er direkte involvert i en sak, og for grupper i samfunnet.

I det følgende trekker Personvernkommisjonen frem det kommisjonen anser som de viktigste utfordringene for personvernet i justissektoren. Noen av disse problemstillingene er direkte knyttet til eksisterende lovverk og prosedyrer i sektoren, mens andre er av overordnet, prinsipiell karakter.

Kommisjonen har valgt å dele opp utfordringene i flere underkapitler. Problemstillingene som drøftes vil nødvendigvis ha overlappende elementer. For eksempel vil ufullstendige personvernvurderinger henge sammen med manglende personvernkompetanse, og utvikling av ny teknologi kan føre til forslag om lovendringer.

Først vil kommisjonen beskrive hvordan vurdering av personvernkonsekvenser, både på systemnivå (mengden av tiltak sett under ett) og i konkrete saker, bør få en mer fremtredende rolle i lovarbeid. Kommisjonen kommenterer også utfordringer knyttet til ivaretakelsen av personvernet i forbindelse med myndighetsutøvelse.

Ny teknologi, som maskinlæringssystemer som har som formål å forutsi kriminalitet, kan være effektive verktøy i kriminalitetsbekjempelse. Personvernkommisjonen vil se på hvilke potensielle personvernkonsekvenser bruk av slik teknologi kan ha for den enkelte, og for samfunnet i stort.

Dersom det foreligger mangel på åpenhet og demokratisk kontroll som følge av nye metoder er dette i seg selv problematisk. Kommisjonen vil også drøfte utfordringer ved svakheter knyttet til enkelte systemer og verktøy for å ivareta personvernet på en effektiv måte i justissektoren. Avslutningsvis vil kommisjonen se på kontrollmekanismene som skal ivareta personvernet i sektoren, og peke på mulige svakheter og forbedringspunkter ved disse.

7.4.1 Personvern i lovarbeid

Personvernkommisjonen anerkjenner behovet for å forebygge og bekjempe kriminalitet i en digitalisert verden. Kommisjonen er likevel bekymret for at personvernet kan bli tilsidesatt for å oppnå disse målene, uten at det foretas tilstrekkelige vurderinger og interesseavveininger.

Ved innføring av nye tiltak er det avgjørende at eventuelle personvernkonsekvenser blir tilstrekkelig belyst og vurdert i forkant. Lovgiver skal begrunne tiltakenes nødvendighet og proporsjonalitet i tråd med menneskerettslige forpliktelser og eksisterende lovverk.

Et kriminalitetsbilde i stadig endring og utvikling av nye verktøy kan skape behov og ønsker om å endre eksisterende lovverk eller introdusere nye hjemler for å muliggjøre effektiv kriminalitetsbekjempelse og forebygging. I mange tilfeller vil slike endringer utgjøre inngrep i og begrense retten til personvern. Derfor må det være en forutsetning at det utføres grundige utredninger av mulige personvernkonsekvenser i lovarbeid. En slik plikt følger også av Utredningsinstruksen med tilleggsveileder, se nærmere omtale av vurderinger av personvernkonsekvenser i lovarbeid i kapittel 6.

Personvernkommisjonen har observert at vurderinger av personvernkonsekvenser kan være begrensede og mangelfulle i forbindelse med nye lov- og forskriftsforslag. Det synes også å være slik at samlede effekter ved innføring av flere inngripende forslag får for liten oppmerksomhet

Som nevnt innledningsvis har skiftende regjeringer de siste årene fremmet en rekke forslag til lov- og/eller forskriftsendringer, med betydelige konsekvenser for borgernes personvern. Dette inkluderer blant annet forslag om å gi politiet utvidet adgang til å benytte skjulte tvangsmidler (herunder kommunikasjonskontroll og dataavlesning),138 forslag om å utvide forsvarets tilgang til politiets registre, forslag som kriminaliserer samarbeid med fremmed etterretningstjeneste om å utøve påvirkningsvirksomhet,139 forslag til endringer i e-komloven (med utvidet lagring av IP-adresser), forslag om politiets tilgang til utlendingsmyndighetenes registre, forslag om systematisk registrering av flypassasjerer,140 og forslag om endringer i lovverket for å gi PST hjemmel til å lagre, systematisere og analysere opplysninger fra åpne kilder på internett.141

En gjennomgående svakhet i vurderingene som gjøres, er at de ikke inneholder en forholdsmessighetsvurdering av tiltaket, det vil si hva de konkrete endringene innebærer for innbyggernes grunnleggende rettigheter. Forholdsmessighetsvurderingene inneholder ofte lite annet enn en påpekning av at muligheten for å bekjempe alvorlig kriminalitet i samfunnet vil svekkes dersom politi og påtalemyndighet ikke sikres tilgang til data. Det er også en gjennomgående svakhet at det ikke gjøres reelle vurderinger av tiltakets nødvendighet. I flere tilfeller legges det til grunn at tiltakene er effektive og nødvendige sett opp imot politiets behov. Effektiviteten diskuteres i liten grad kritisk. I stedet for å gjøre forholdsmessighets- og nødvendighetsvurderinger, peker lovgiver på betydningen av rettssikkerhetsgarantier og at disse ivaretar hensynet til borgernes rettssikkerhet og personvern.

Personvernkommisjonen vil i det følgende trekke frem noen eksempler fra lov- og forskriftsarbeid der mangler ved vurderingen av personvernkonsekvenser har blitt påpekt:

• I 2016 introduserte Samferdselsdepartementet et forslag om en endring i vegtrafikkloven for å gi politiet direkte tilgang til motorvognregistret, førerkortregistret og bilde- og signaturregistret til bruk for politimessige formål. I sitt høringssvar stilte Datatilsynet seg kritisk til det de beskriver som en «utvikling hvor stadig flere registre stilles til disposisjon for andre formål enn de ble opprettet for». Tilsynet argumenterte for at et ønske om slike utvidede hjemler burde fremmes som eget lovforslag for å opprette et nytt register, for å sikre en grundig politisk prosess.142 Tilsynet fikk begrenset gehør for sine synspunkter, og politiet fikk tilgang til motorvognregistret og førerkortregistret.

• I 2018 la Justis- og beredskapsdepartementet fram et forslag om å opprette et nasjonalt register over drap og vold med dødelig utgang. I sin høringsuttalelse påpekte Datatilsynet at opplysninger om døde personer anses som personopplysninger dersom de kan knyttes til en levende person. Datatilsynet kritiserte forslaget for å ikke ha gjort tilstrekkelige vurderinger av personvernkonsekvenser for pårørende.143 Forslaget var i juli 2022 fortsatt til behandling.

• I 2018 publiserte Justis- og beredskapsdepartementet en høring om utveksling av personopplysninger i forbindelse med bekjempelse av arbeidslivskriminalitet. Forslaget inkluderte en ny bestemmelse i personopplysningsloven for å gi hjemmel for utvekslingen av personopplysninger mellom offentlige organer i forbindelse med arbeid med å bekjempe arbeidslivskriminalitet. Datatilsynet og Difi kritiserte blant annet høringsnotatet for å ikke vurdere hvilke implikasjoner forslaget ville kunne få for personvernet.144

• I 2021 sendte Justis- og beredskapsdepartementet ut en høring om endringer i straffeloven, straffeprosessloven og politiloven for å kriminalisere samarbeid med fremmede etterretningstjenester som kan utgjøre påvirkningsvirksomhet. Blant annet Advokatforeningen, Den internasjonale juristkommisjon og Datatilsynet kritiserte i sine høringssvar forslaget for å ikke tilstrekkelig utrede personvern- og ytringsfrihetskonsekvenser.145

• I 2021 publiserte Justis- og beredskapsdepartementet en høring om forslag til ny grenseforskrift, samt endringer i grenseloven, politiregisterloven, utlendingsloven og grenseforskriften. Forslaget omhandlet blant annet innsamling av informasjon om flypassasjerer, inkludert lagring av personopplysninger i fem år. Tekna, Datatilsynet og Norges Institusjon for Menneskerettigheter kritiserte forslaget for å ikke drøfte personvernkonsekvenser av forslaget i høringsnotatet.146 Datatilsynet påpekte også at tilsynet ikke var blitt konsultert av departementet før høringsnotatet ble lagt fram.

• I 2021 sendte Kommunal- og moderniseringsdepartementet og Justis- og beredskapsdepartementet på høring et forslag om endringer i ekomloven. Forslaget innebar å innføre plikt for tilbydere av ekomtjenester til å lagre IP-adresser, med formål om at politiet kan få tilgang som ledd i bekjempelsen av alvorlig kriminalitet. Forslaget ble blant annet kritisert av Abelia og Datatilsynet for å ikke gjøre en helhetsvurdering av personvernkonsekvenser i sammenheng med andre inngripende lovendringer. Forslaget ble også kritisert av blant annet Advokatforeningen, Den Internasjonale Juristkommisjon, Norsk Journalistlag og Tekna for å ikke tilstrekkelig vurdere proporsjonaliteten av inngrep opp mot personvern, ytringsfrihet og kildevern.147 Datatilsynet bemerket også at departementene ikke hadde rådført seg med tilsynet før forslaget ble lagt fram.

• I 2021 sendte Justis- og beredskapsdepartementet på høring et forslag til endringer i politiloven, politiregisterloven og politiregisterforskriften.148 Forslaget inkluderer endringer i lovverket for å gi PST hjemmel til å lagre, systematisere og analysere store mengder informasjon fra åpne kilder på internett, selv om den enkelte opplysning ikke er nødvendig for det angitte formålet. Informasjonen, som vil kunne angå «en stor andel av befolkningen», skal kunne lagres i 15 år. I følge departementet er det ikke praktisk gjennomførbart å sette begrensningskriterier for hvilke opplysninger som kan lastes ned, fordi det ved kartlegging av trusselbilder ikke på forhånd vil være sikkert hvilke data som kan være av betydning. Forslaget har møtt kritikk fra blant andre Advokatforeningen, Datatilsynet og Norsk Institusjon for Menneskerettigheter. Kritikken går blant annet på at forslaget synes å utgjøre et uforholdsmessig stort inngrep i personvernet til samtlige innbyggere uten at dette er tilstrekkelig begrunnet fra departementet, at det antageligvis strider mot rettspraksis fra EMD, samt at negative ringvirkninger på ytringsfriheten og personvernet ikke er tilstrekkelig utredet.149

Eksemplene over illustrerer at det er tydelige mangler ved vurderinger av personvernkonsekvenser i lov- og forskriftsarbeider. Personvernkommisjonen har inntrykk av at dette blant annet skyldes at Datatilsynet i liten grad involveres før personverninngripende lov- og forskriftsforslag sendes på høring.

Etter personvernforordningen artikkel 36 nr. 4 foreligger det et krav om at «Medlemsstatene skal rådføre seg med tilsynsmyndigheten ved utarbeiding av forslag til lovgivning som skal vedtas av et nasjonalt parlament, eller av et reguleringstiltak som er basert på slik lovgivning, og som er knyttet til behandling». Personvernkommisjonen mener, som kommentert i kapittel 6 og mer uførlig diskutert i kapittel 13, at rådføringsplikten ikke kan anses å være etterlevet ved å gi Datatilsynet anledning til gi innspill i forbindelse med en ordinær offentlig høringsprosess.

Personvernkommisjonen ser grunn til å stille spørsmål ved om rådføringsplikten etterfølges i tilstrekkelig grad av norske myndigheter i dag innenfor justissektoren.

Som en mulig følge av at personverninngripende høringsforslag ikke er gjenstand for rådføring med Datatilsynet, ser kommisjonen at høringsnotater ofte utilstrekkelig beskriver mulige personvernkonsekvenser. Dette kan videre føre til at viktige personvernhensyn ikke belyses som en del av saksgrunnlaget når lovforslag behandles i Stortinget. Eksemplet fra Danmark beskrevet nedenfor i avsnitt 7.4.5, illustrerer hvordan slike mangler i verste fall kan føre til at parlamentarikere ikke har grunnlag for å forstå konsekvensene for personvernet, ved innføring av nye lover og hjemler. Dette vil i så fall være et demokratisk problem.

En grundig vurdering av personvernkonsekvenser i lovarbeid er en forutsetning for demokratisk kontroll. I kapittel 6 anbefaler Personvernkommisjonen at regjeringen vurderer om rådføringsplikten følges i tilstrekkelig grad i dag, og hvordan denne plikten ev. bør innrettes for å ikke forsinke lovarbeidet unødig, samt føre til en uforholdsmessig stor ressursbelastning for Datatilsynet.

I flere av lovarbeidene hvor mulige personvernkonsekvenser faktisk berøres, formuleres disse konsekvensene som utfordringer for individers personvern. For eksempel kan en mulighet for at enkeltpersoner settes under mistanke på grunn av utvidede hjemler for datainnsamling, adresseres med at domstolskontroll og andre kontrollmekanismer vil kunne hindre at enkeltindivider utsettes for urettmessige inngrep i personvernet. Som beskrevet i kapittel 3 er det svakheter ved å formulere personvernkonsekvenser som et rent individuelt anliggende. Dersom personvernkonsekvensene ved et lov- eller forskriftsforslag fremstilles som et individuelt anliggende, risikerer man at bredere samfunnseffekter, for eksempel nedkjølingseffekter som utfordrer ytringsfriheten, ikke fanges opp som en reell konsekvens. Dermed løper man en risiko for at grunnleggende spørsmål ikke blir drøftet som en del av lovarbeidet.

Personvernkommisjonen mener regjeringen må bevilge midler til forskning på samfunnsmessige konsekvenser av overvåkningstiltak i justissektoren. Dette er viktig kunnskap for å være i stand til å gjøre helhetsvurderinger ved innføring av lovendringer.

7.4.2 Vurdering av personvern i myndighetsutøvelse

Ivaretakelse av personvernet i forbindelse med myndighetsutøvelse setter høye krav både til politiet som organisasjon og til den enkelte ansatte. Tydelige hjemler, veiledning, rutiner og kontrollmekanismer er viktige forutsetninger for at personvernet skal ivaretas i det daglige politiarbeidet. I det følgende vil Personvernkommisjonen diskutere utfordringer knyttet til uklare hjemler, bruk av åpne kilder, formålsutglidning og deling av data mellom politiet og andre myndigheter.

7.4.2.1 Implementering av politidirektivet i politiregisterloven

Politiet har plikt til å vurdere personvernkonsekvenser av tiltak før de iverksettes. I disse vurderingene er det nødvendig med en viss grad av skjønnsutøvelse. Dersom tiltak ikke er utredet tilstrekkelig i lovarbeidet, og/eller hjemlene er uklare, kan dette føre til for stor grad av skjønn. Resultatet kan bli lite forutberegnelig og ramme skjevt, og over tid foreligger risiko for formålsutglidning.

Etter kommisjonens syn er politiregisterloven et eksempel der loven ikke oppstiller tilstrekkelige konkrete krav og føringer for behandling av personopplysninger. Loven bør forenkles og forbedres.

Det er behov for vurderinger av politiregisterlovgivningens harmonisering med EU-retten. EUs sektordirektiv 2016/680,150 heretter politidirektivet, inneholder flere krav som ikke eksplisitt er gjennomført i politiregisterloven. Det gjelder for eksempel bestemmelser om vurderinger av automatiserte beslutningsprosesser151 og innebygd personvern.152 Kripos har pekt på at manglende gjennomføring av bestemmelsene kan medføre uklarhet rundt rettstilstanden når politiet skal vurdere bruk av ny teknologi, og hva som er tillatt når enkelte bestemmelser ikke er eksplisitt gjennomført i norsk rett. Videre kan det skape utfordringer i praksis at kravet til behandlingsgrunnlag ikke gjenfinnes i politiregisterloven.

Datatilsynet mener det er usikkert om regelverket som regulerer PSTs innhenting og bruk av personopplysninger inneholder tilstrekkelige hjemler til å benytte personopplysninger til utvikling av maskinlæringssystemer.153

Politiregisterloven mangler også bestemmelser som gjennomfører politidirektivet artikkel 4 om personvernprinsipper. Politidirektoratet ga i sitt høringssvar til Personvernkommisjonens mandat uttrykk for at det bør utformes en egen bestemmelse i politiregisterloven som gjennomfører politidirektivet artikkel 4 om prinsipper: «En egen bestemmelse om prinsipper vil i større grad bidra til harmonisering og brukervennlighet. Vi er også usikre på hvorfor ikke alle personvernprinsippene er gjennomført i politiregisterloven. Vi trekker særlig frem rettferdighetsprinsippet, som er et av de mest sentrale personvernprinsippene.»154

Videre er ikke politidirektivets artikkel 10 bokstav c implementert i politiregisterloven. Bestemmelsen gir hjemmel for politiets bruk av særlige kategorier personopplysninger som den registrerte selv har offentliggjort, som ikke gjenfinnes i politiregisterloven.155 I lys av den teknologiske utviklingen og det store omfanget av tilgjengelige personopplysninger på Internett, er dette et praktisk viktig grunnlag som gir føringer for politiets bruk av slike opplysninger. I høringsnotatet uttalte departementet: «At den registrerte selv har offentliggjort slike opplysninger bør ikke være et selvstendig grunnlag for politiets behandling når vilkårene om formålsbestemthet og nødvendighet ikke er oppfylt».156 Som følge av at denne bestemmelsen ikke er implementert i norsk lov, er ikke politiets rammer for, og adgang til å benytte informasjon fra åpne kilder (Facebook ol.) utredet og avklart gjennom en åpen og demokratisk debatt.157 Politiets innhenting og bruk av personopplysninger fra åpne kilder i etterforskningssammenheng, vil bli diskutert i avsnittet under.

Kripos har gitt uttrykk for at det er en fordel om nevnte krav gjenfinnes i det norske regelverket, noe som også kunne bidratt til å gjøre kravene til personvernvurderinger klarere for de som bruker regelverket.

Personvernkommisjonen mener Justis- og beredskapsdepartementet må vurdere om alle bestemmelsene i politidirektivet skal implementeres i politiregisterloven. En harmonisering av loven med direktivet vil gi klarere retningslinjer for personvernvurderinger og gjøre det enklere for tjenestepersoner å anvende loven.

7.4.2.2 Bruk av åpne kilder

Det produseres, lagres og utveksles enorme mengder personopplysninger digitalt, særlig gjennom sosiale medier og digitale plattformer. At mange «lever» en stor del av sine liv på nett, gjør også at den informasjonen som finnes der kan oppfattes som relevant i oppklaring av kriminalitet. Før var det mulig for politiet å etterforske for eksempel økonomisk kriminalitet, ved kun å ta beslag i mapper og permer som var relatert til en persons økonomiske virksomhet. Ved å ta beslag i en mobiltelefon eller datamaskin, er det mulig å få innsikt i svært mye om en persons liv og handlinger.

Lovkravene til innhenting og behandling av personopplysninger er de samme slik de fremgår av straffeprosessloven og politiregisterloven, og omfanget av tilgjengelig informasjon endrer ikke kravet til at informasjonen må ha betydning som bevis, eller eksempelvis oppfylle formålet om forebygging av lovbrudd i politiregisterloven § 47-1.

Informasjonsinnhenting fra åpne kilder på internett er en metode som kan benyttes til politimessige formål, herunder kriminalitetsbekjempelse i form av etterretningsvirksomhet, etterforskning og forebygging.

Det er flere problemstillinger politiet må hensynta ved informasjonsinnhenting fra åpne kilder på nett, og det første er om informasjonsinnhentingen foregår som del av en etterforskning. Er formålet å avklare om et straffbart forhold har funnet sted, er det etterforskning. Annen politivirksomhet, som forebyggende virksomhet og avdekking og stansing av mulige straffbare handlinger (etterretning), kan også innebære behov for informasjonsinnhenting. Slik informasjonsinnhenting har hjemmel i politiregisterloven.

Det er påtalemyndigheten som avgjør om etterforskning skal iverksettes. Beslutningen tas etter en vurdering av vilkårene i straffeprosessloven (strpl.) § 224. Etter straffeprosessloven § 225 er påtalemyndigheten ansvarlig for etterforskningen.

Skjer informasjonsinnhentingen i etterforskningssporet, gis ulike aktører i etterforskningen straffeprosessuelle rettigheter, eksempelvis rett til innsyn i sakens opplysninger etter strpl. § 242. Dersom informasjonsinnhentingen innebærer bruk av straffeprosessuelle tvangsmidler, må beslutning fra retten eller påtalemyndigheten innhentes.

Informasjonsinnhenting fra åpne kilder på internett er i utgangspunktet lovlig. Politiet må imidlertid ha en saklig grunn for informasjonsinnhentingen og den må være forholdsmessig. Grunnloven og EMK artikkel 8 setter yttergrenser for hvilke inngrep politiet kan gjøre. Hvorvidt en persons privatliv er vernet mot politiets informasjonsinnhenting, beror på en samlet vurdering av intensiteten i de konkrete tiltakene, og krever en konkret vurdering. Relevante vurderingstema kan være om informasjonsinnhentingen foregår over tid og gjennomføres systematisk, og om den finner sted på et privat område. Dersom innhentingsmåten griper inn i vernet etter EMK artikkel 8, må det aktuelle tiltaket, i tillegg til å være saklig begrunnet og forholdsmessig, ha hjemmel i lov. Uten slik hjemmel er tiltaket ulovlig.

Det er nødvendig at politiet har et bevisst forhold til informasjonsinnhenting fra åpne kilder på internett, og det er arbeidet med dette de senere år. Blant annet er Personvernkommisjonen kjent med at KRIPOS utarbeidet en nasjonal veileder på dette feltet i 2018.

Det er særlig viktig at politiet har høy bevissthet om personvernimplikasjonene knyttet til bruken av åpne kilder med henblikk på hvilke konsekvenser bruken kan ha for tilliten til politiet og for faren for nedkjølingseffekt i befolkningen.

Selv om det foreligger nødvendighets- og forholdsmessighetsvurderinger før informasjon innhentes, kan selve muligheten politiet har til å bruke opplysninger innhentet på nett til etterforskningsformål ha nedkjølingseffekter i form av at personer legger bånd på hva de gjør og sier i frykt for at dette kan få negative konsekvenser. Dette kan forekomme selv om man ikke faktisk er under overvåkning. Antagelsen eller fornemmelsen av at noen følger med kan være nok til å utløse effekten. Det kan således oppstå nedkjølingseffekter ved at politiet benytter opplysninger fra kommentarfelt eller sosiale medier. Det vil kunne være uheldig for ytringsfriheten dersom individer bevisst avstår fra å for eksempel ytre seg politisk i sosiale medier fordi de er bekymret for at ytringene kan tas ut av kontekst og/eller brukes på måter som i ytterste konsekvens kan få juridiske følger. Med nye, dynamiske metoder som stadig tas i bruk ved etterforskning av nettbasert kriminalitet, vil behovet for personvernkonsekvensvurderinger øke. Vurderingene bør brukes som et operativt verktøy i det daglige arbeidet med personvern for å samle flere miljøer og skape forståelse for ulike tiltak. I tillegg vil det kunne benyttes for å identifisere praktiske, risikoreduserende tiltak, som er tilpasset miljøet disse tiltakene iverksettes i.

Personvernkommisjonen mener bruk av åpne kilder på internett kan skape særskilte personvernutfordringer. Kommisjonen er blant annet bekymret for hvilke nedkjølingseffekter som kan oppstå som følge av justissektorens bruk av åpne kilder på nett, og dette perspektivet må vektlegges ved utarbeidelse av interne instrukser og lignende.

Personvernkommisjonen mener at dersom det igangsettes tiltak som innebærer masseinnsamling av personopplysninger for nærmere angitte formål, er det viktig at metoder for dataseparasjon følges for å sikre at data kun benyttes til formål lovgiver har vurdert det nødvendig for.

7.4.2.3 Dataseparasjon

Dataseparasjon betyr at opplysninger lagres i adskilte databaser, enheter og områder for hvert formål og behandling. Ved å separere behandlinger og lagring av personopplysninger tilknyttet en enkeltperson, reduseres muligheten for å lage komplette profiler av hver enkelt registrerte. Separasjon er også en god måte å oppnå formålsbegrensning, samt urettmessig kobling og lenking mellom ulike datasett. Tabeller med personopplysninger bør ha kortere lagringstid med tidsfrist for automatisk sletting, mens tabeller uten personopplysninger kan lagres lengre. Tiltak for å oppnå dette kan være tilgangsstyring til tabeller, splitting av databasetabeller, skille mellom enheter med høy tillit og lav tillit, skille tilgang til områder i forhold til behov.158

7.4.2.4 Formålsutglidning i forbindelse med politiets myndighetsutøvelse

Med formålsutglidning menes en situasjon hvor personopplysninger som er innhentet til et bestemt formål senere benyttes til et annet, nytt formål. Slik utglidning kan skje gradvis gjennom praksis, for eksempel ved at flere personer enn tiltenkt registreres,159 og at opplysningene, etter at de er registrert, blir tilgjengelig for flere formål enn opprinnelig planlagt.160

Formålsutglidning kan forekomme av ulike årsaker og på flere nivå i politiet. Personvernkommisjonen anser risikoen for slik utglidning som størst ved bruk av tiltak som ikke defineres som inngripende, da det for disse tiltakene foreligger færre interne og eksterne kontrollmekanismer, og avgjørelser i større grad kan gjøres på grunnlag av skjønnsmessige vurderinger.

Bruk av inngripende metoder, som skjulte tvangsmidler, er gjenstand for særskilte kontrollmekanismer. Kontrollsystemet består både av interne kontrollmekanismer som politiets- og påtalemyndighetens organinterne kontroll, og eksterne kontrollmekanismer som domstolskontroll og kontroll gjennom uavhengige utvalg og med advokatbistand. Dette kontrollsystemet har vokst frem som følge av uheldige erfaringer med politiets skjulte tvangsmiddelbruk.161

Personvernkommisjonen anser risikoen for formålsutglidning ved bruk av inngripende metoder som relativt lav, både som følge av det interne og eksterne kontrollregimet, og fordi domstolene legger til grunn et sterkt legalitetsprinsipp.

Den største risikoen for formålsutglidning i politiet, slik Personvernkommisjonen ser det, ligger på individnivå og i forbindelse med bruk av tiltak som (i dag) ikke defineres som inngripende for personvernet. Et eksempel på et slikt tiltak er bruk av opplysninger hentet fra åpne kilder på nett.

Formålsutglidning kan skje som følge av at hjemler er uklare og at vurderingene som den enkelte politiansatte må gjøre derfor åpner opp for stor grad av skjønn. Det kan også oppstå utilsiktet formålsutglidning som en følge av bredere samfunns- og kulturendringer, ved at grensene for hva som oppfattes som sensitivt eller inngripende endrer seg. For eksempel kan samfunnsforståelsen av hva som oppfattes som en religiøs ytring endre seg over tid. Slik kan opplysninger som tidligere var regnet som uproblematisk for politiet å behandle, bli gradvis mer utfordrende å behandle.

Tydelige hjemler er viktig for å hindre formålsutglidning. Videre er en sterk personvernkultur, kombinert med et robust internkontrollsystem, avgjørende for å forebygge slik utglidning. Notoritet – at det dokumenteres hvilke opplysninger som brukes til hva – er en viktig del av et slikt kontrollsystem. I tillegg til organisatoriske tiltak, herunder effektiv internkontroll, er tekniske tiltak viktig for å forebygge formålsutglidning. KRIPOS har gitt innspill til Personvernkommisjonen om at tilgangsstyringen i enkelte av saksbehandlingssystemene bør vurderes og tilgangsnivået bedre må tilpasses rollebaserte behov.

Personvernkommisjonen mener ledelsen i politiet må ha høy bevissthet om faren for formålsutglidning og at risikoen for slik utglidning må reduseres gjennom etablering av organisatoriske og tekniske tiltak. Et viktig tiltak i denne sammenheng er å bygge en god personvernkultur. Dette er et lederansvar.

7.4.2.5 Deling av opplysninger mellom politiet og andre myndigheter

Tydelige og forutsigbare rammer for informasjonsutveksling er en forutsetning både for godt personvern og for effektiv kriminalitetsbekjempelse. Politiet har i dag hjemler i eget lovverk som gir adgang til informasjonsdeling. Etter politiregisterloven § 30 har politiet adgang til å utlevere opplysninger innhentet til politimessige formål også til andre offentlige organer dersom det er i mottakerorganets interesse (til forvaltningsformål).

Politiet kan utlevere opplysninger til både offentlige og private aktører på nærmere bestemte vilkår, eksempelvis opplysninger om en arbeidstaker. For at opplysningene skal kunne brukes etter sin hensikt er det avgjørende at mottaker har et dekkende behandlingsgrunnlag for den videre behandlingen.

En utfordring oppstår der utleveringsadgangen betinges av en vurdering av mottakers interesse av opplysningene, jf. politiregisterloven §§ 30 og 31. Bestemmelsene hjemler utlevering til offentlige eller private mottakere, dersom det er nødvendig for å fremme mottakers oppgaver etter lov, eller for å hindre at mottakers virksomhet utøves på en uforsvarlig måte. Politiet må dermed vurdere relevansen av opplysningene opp mot mottakers regelverk. Dette er svært skjønnsmessige vurderinger og det kan være utfordrende å vurdere rekkevidden av hjemlene. Som følge av uklare hjemler eksisterer det en risiko for at opplysninger utleveres uten tilstrekkelig rettslig grunnlag, som igjen kan få store konsekvenser for den enkelte.

En annen utfordring knyttet til informasjonsutveksling mellom politiet og andre virksomheter i Norge er at politiet i noen sammenhenger har hjemmel til å utlevere opplysninger, men at mottaker ikke har behandlingsgrunnlag for å behandle de samme opplysningene. Dette gjelder for eksempel ved samarbeid med vekterbransjen. Dette samarbeidet er formalisert med en intensjonsavtale mellom Politidirektoratet og NHO Service og Handel, samt lokale avtaler. Politiet vil ofte kunne ha hjemmel til å utlevere opplysninger til sikkerhetsbransjen, for eksempel i politiregisterloven § 31, eller i politiregisterloven § 27 for å avverge eller forebygge kriminalitet. Personvernkommisjonen har hatt møte med bransjeforeningen NHO Service og Handel som organiserer en stor del av vekterbransjen. Fra NHO Service og Handel er det påpekt at vekterselskapene mangler selvstendig behandlingsgrunnlag for å behandle opplysninger som mottas fra politiet, noe som er et krav etter personvernforordningen artikkel 6. Det er formidlet til Personvernkommisjonen at bransjen ønsker en nærmere regulering av samarbeidet med politiet.

Forebygging er politiets primærstrategi162 og politiet har egne hjemler for utlevering av opplysninger til forebygging, jf. politiregisterloven § 27 annet og fjerde ledd. Hvor langt politiet kan gå i sin forebyggende virksomhet følger ikke alltid like klart av regelverket, herunder hvilke forebyggende tiltak politiet kan iverksette overfor enkeltpersoner. Enkelte inngrep er hjemlet i politiloven kapittel II. Politiet kan for eksempel gripe inn for å stanse forstyrrelser av den alminnelige ro og orden, eller for å avverge lovbrudd, jf. politiloven § 7. For politiets forebyggende virksomhet utenfor politilovens inngrepshjemler kan det imidlertid være vanskeligere å trekke grensen mellom hva politiet kan og skal gjøre, og hva som for eksempel hører til andre etater, slik som skole, helsevesen eller barnevern. Dette kan medføre en utfordring med tanke på hvilke opplysninger om enkeltpersoner som kan behandles av hvem og til hvilke formål.

I politimeldingen, Meld. St. 29 (2019–2020) er det for eksempel lagt til grunn at politiet skal ta initiativ til lokale samarbeidsavtaler med kommunene, som blant annet bør omfatte tverrfaglig innsats for forebygging, samt at samarbeidet mellom politi, barnevern og skole skal styrkes.163 Det er således en politisk forventning om samhandling og forebygging, uten at de rettslige rammene alltid er tilsvarende klare.

Et område der det for tiden pågår arbeid med hjemler og systemstøtte for samarbeid, er arbeidslivskriminalitetssamarbeidet (A-krimsamarbeidet) mellom politiet, Arbeidstilsynet, NAV og skattemyndighetene i A-krimsentrene. Justis- og beredskapsdepartementet arbeider med ny forskrift om deling av taushetsbelagte opplysninger og behandling av personopplysninger i det tverretatlige samarbeidet mot arbeidslivskriminalitet. I høringsrunden kom flere instanser med kritikk grunnet manglende personvernvurderinger. Datatilsynet pekte på at det er en betydelig mangel ved forslaget at det er ikke gjennomført nødvendige vurderinger av konsekvenser for de berørtes personvern og mente at forskriften ikke kunne vedtas slik den forelå. A-krimsamarbeidet er også diskutert i denne rapportens kapittel 6. Både politiet og de samarbeidende etatene har påpekt viktigheten av en bedre regulering av samarbeidet, og behovet for en avklaring av hjemmelsgrunnlaget for deling av opplysninger og hvem som skal være behandlingsansvarlig for de opplysningene som behandles i fellesskap.

Utfordringen med dagens regulering knytter seg til interesseavveininger som utleverende organ fortløpende må foreta, spesielt når utleveringen skjer til flere etater samtidig og hvor det foreligger ulike bestemmelser om taushetsplikt og behandling av opplysninger.

Samme type utfordringer kan også oppstå i andre tverretatlige samarbeid politiet deltar i. Andre eksempler på tverretatlig samarbeid er SaLTo-samarbeidet164 mellom Oslo politidistrikt og Oslo kommune, og Nasjonalt tverretatlig analyse- og etterretningssenter (NTAES).165 Generelt kjennetegnes slike samarbeid av at det er politisk vilje og forventninger til tettere samhandling, men uten at regelverket nødvendigvis er oppdatert.

Personvernkommisjonen mener en klargjøring av hjemler og bevisstgjøring rundt personvernkonsekvenser av informasjonsdeling mellom etater og virksomheter er helt avgjørende for lovligheten av informasjonsdelingen.

7.4.3 Åpenhet om politiets metodebruk

Åpenhet bidrar til å skape tillit, og er en forutsetning for at innbyggerne skal kunne ivareta sine rettigheter og at det skal være mulig å kontrollere at regler etterleves. For å opprettholde prinsipper om åpenhet og etterrettelighet, må det eksistere mekanismer som gjør innbyggerne trygge på at myndighetene bruker sine virkemidler etter loven, og kun der det er foretatt grundige konsekvensutredninger.

Mangel på informasjon og gjennomsiktighet om teknologibruk, kombinert med en stadig utvikling av kraftige datainnsamlings- og analyseverktøy for bruk i justissektoren, kan føre til svakere personvern, men også til at befolkningens tillit til justissektoren svekkes. Dette kan over tid ha negative ringvirkninger som kan gjøre det vanskelig for justissektoren å utføre sine oppgaver.

Det er begrenset tilgjengelig informasjon om hvilke verktøy blant annet politiet i Norge anvender, og hvordan personvern ivaretas i praksis. Det er også Personvernkommisjonens erfaring at det i kommisjonens arbeid har vært utfordrende å få innsikt i metodebruk og verktøy som er i bruk eller som vurderes tatt i bruk. Dette gjenspeiler erfaringer gjort av Metodekontrollutvalget.

I 2009 la Metodekontrollutvalget frem sin evaluering av lovgivningen om politiets bruk av skjulte tvangsmidler og behandling av informasjon i straffesaker.166 Utvalget pekte på metodologiske utfordringer i sin evaluering, blant annet knyttet til manglende registrering og statistikk over politiets tvangsmiddelbruk, samt taushetsbelagte saksdokumenter som begrenset muligheten til å kartlegge bruken og betydningen av inngripende metoder.167 Det er grunn til å anta at politiets metodebruk har utviklet seg betydelig siden 2009, i tråd med både kriminalitetsutviklingen og teknologiske muligheter.

Bruken av private leverandører for personverninngripende teknologi i justissektoren kan skape grunnleggende utfordringer i tilfeller der det mangler åpenhet rundt anskaffelser og konsekvensutredninger. Utfordringene knyttet til politiets samarbeid med Palantir, som beskrevet i avsnitt 7.4.5, illustrerer dette. Det er derfor etter Personvernkommisjonens syn særlig viktig med åpenhet for å sikre forsvarlig bruk av IT-leverandører i justissektoren.

Personvernkommisjonen anbefaler at det nedsettes et utvalg for å utrede metodebruk i justissektoren. Utvalget bør vurdere personvernkonsekvenser av politiets metoder, særlig sett opp mot formålsprinsippet og proporsjonalitetsprinsippet. Dette arbeidet forutsetter at utvalget har tilgang på nødvendig informasjon om bruken av inngripende metoder og skjulte tvangsmidler. Dette er viktig både som et tillitsbevarende tiltak, og for å reise en åpen og demokratisk debatt om hvor grensen mellom personvern og kriminalitetsbekjempelse og forebygging bør gå.

7.4.4 Effektiv domstolskontroll

I avsnitt 7.2.3 beskrives viktigheten av domstolskontroll ved straffeprosessuelle tiltak av et visst alvor. Personvernkommisjonen har også fremhevet at det bør klargjøres i loven at alle som kan beslutte slike inngrep må vurdere om de samlede tiltak i den enkelte sak er forholdsmessige, og herunder skal den enkelte involvertes personvern vurderes.

En effektiv domstolskontroll forutsetter at lovbestemmelser med inngrepshjemler ikke gjøres for generelle av lovgiver. Jo mer konkret en lov er, dess bedre blir domstolen i stand til å utøve reell, rettslig kontroll.

I 2016 fremmet Justisdepartementet en proposisjon om endringer i straffeprosessloven. Det ble foreslått at politiet gis en utvidet adgang til å benytte skjulte tvangsmidler ved etterforskning, avverging og forebygging av alvorlige lovbrudd.168 Dersom dette forslaget hadde blitt vedtatt, hadde domstolskontrollen blitt redusert til en vurdering av om tiltakene var formålstjenlige og saklig begrunnet. Etter kritikk ble lovendringen vedtatt med krav om at slike tiltak bare kunne iverksettes der det var objektive holdepunkter i selve saksforholdet som ga grunn til å undersøke om noen forbereder for eksempel en terrorhandling.169 Gjennom denne endringen ble den reelle domstolskontrollen med PSTs virksomhet betydelig styrket, og rettssikkerheten til de involverte bedre ivaretatt.

Personvernkommisjonen mener det bør vurderes om dagens domstolskontroll av politiets tiltak bør utvides til å omfatte flere tiltak enn i dag. Kommisjonen understreker videre viktigheten av at bestemmelser som hjemler forskjellige tvangsmidler formuleres slik at effektiv og reell domstolskontroll blir mulig.

Etter straffeprosessloven § 170a kan et tvangsmiddel aldri brukes når det fremstår som et uforholdsmessig inngrep. Denne vurdering må alltid påtalemyndigheten og retten gjøre. Samtidig kan flere mindre inngripende tiltak ha en samlet effekt som utgjør et større inngrep i personvernet.

Som nevnt innledningsvis, reiser Personvernkommisjonens mandat spørsmål om det samlede omfang av tiltak innenfor justissektoren skaper utfordringer for personvernet. Denne problemstillingen er formentlig særlig adressert til etterforskning og de mulige metodene som i den sammenheng kan iverksettes, både av tradisjonell karakter (ransaking, pågripelse, beslag) og de mer ekstraordinære (kommunikasjonskontroll, hemmelig ransaking, romavlytting).

Kommisjonen understreker at det er ved den mest alvorlige kriminalitet spørsmålet om inngripende og omfattende tvangsmiddelbruk vil reise seg. De ulike metodene har gjerne blitt vedtatt over tid av lovgiver og skal og må stå i forhold til de utfordringer alvorlig kriminalitet til enhver tid utgjør. Kvalifiserte interesseavveininger er nødvendige; hvor alvorlig er det aktuelle inngrepet, vil iverksettelse av dette være hensiktsmessig med tanke på oppklaring og hvor alvorlig er den kriminalitet som begås?

Personvernkommisjonen mener det bør innføres et tillegg i straffeprosessloven § 170a som sikrer at det gjøres en vurdering av at den samlede bruken av ulike etterforskningsmetoder ikke blir et uforholdsmessig inngrep. I et slikt tillegg bør det understrekes at hensynet til personvern skal vektlegges i denne vurderingen.

7.4.5 Bruk av ny teknologi i justissektoren

Bruk av ny teknologi vil være svært viktig i justissektoren fremover, og kan bidra til mer effektiv kriminalitetsbekjempelse dersom den brukes på en forsvarlig måte. Feil eller ureflektert bruk av teknologi kan ha stor innvirkning på den enkeltes personvern og andre rettigheter og friheter. Ethvert tiltak må, som nevnt, tilpasses den kriminalitetstrusselen samfunnet står overfor, og faktiske situasjoner og hva som må til for å sikre innbyggerne mot kriminalitet forandrer seg stadig. Samtidig må det være en forutsetning at metodebruken er proporsjonal, og at den samsvarer med problemene man ønsker å løse.

Det er vanskelig å få en helhetlig oversikt over hvordan politiet i Norge benytter ny teknologi, som for eksempel maskinlæringssystemer. Personvernkommisjonen har imidlertid fått innspill fra professor Mareile Kaufmann fra Institutt for kriminologi ved Universitetet i Oslo om at det er mange ulike avdelinger innad i politiet som benytter forskjellige typer teknologier. Politiet ønsker, av hensyn til pågående og fremtidig etterforskning og kriminalitetsbekjempelse, ikke å avsløre nøyaktig hvilke metoder som benyttes.170 Nasjonalt cyberkrimsenter (NC3) er det nasjonale senteret for forebygging, avdekking og bekjempelse av trusler og kriminalitet i det digitale rom.171 Denne enheten kunne i 2020 meddele at de benytter maskinlæringssystemer til stordataanalyser. Per i dag benyttes ikke maskinlæringssystemer til formål som forutseende politiarbeid (se nedenfor) eller chatroboter. Stordataanalysene brukes imidlertid til å analysere store datamengder i etterforskningsarbeid.172

Nedenfor vil Personvernkommisjonen drøfte noen overordnede og prinsipielle personvernutfordringer som kan oppstå ved anskaffelse og bruk av ny teknologi i justissektoren. Flere av eksemplene er fra andre land, men det er nærliggende å tro at lignende problemstillinger kan oppstå dersom teknologien ønskes benyttet i norsk justissektor, selv om det juridiske og kulturelle bakteppet i mange tilfeller vil være annerledes.

7.4.5.1 Kommersielle analyseverktøy for bruk i justissektoren

Bruken av kommersielt utviklede overvåknings- og analyseverktøy i justissektoren har reist spørsmål både i Norge og i andre land. Det amerikanske analyse- og teknologiselskapet Palantirs samarbeid med myndigheter rundt om i verden kan tjene som eksempel. Selskapet leverer analyseverktøy til forsvar, etterretning og bedrifter verden rundt. På Palantirs kundeliste står blant annet CIA, FBI, NSA, og det amerikanske forsvaret, og selskapet leverer teknologi for alt fra DNA-sporing og børsanalyse til terrorbekjempelse og datadreven krigføring.173

I Norge inngikk Politidirektoratet i 2017 et samarbeid med Palantir, gjennom en bestilling av IKT-prosjektet Omnia.174 Programvaren fra selskapet, som ble betegnet som «Google for politiet», skulle i utgangspunktet være et system for å utveksle opplysninger med politimyndigheter i andre land, som en del av det såkalte Prüm-samarbeidet175 for etterforskning av grenseoverskridende saker. Verktøyet skulle også brukes til å sammenstille og analysere data fra politiets forskjellige registre, inkludert register om DNA, fingeravtrykk, etterforskningsopplysninger med mer, for å samle alt under ett system og finne nye sammenhenger som kunne brukes i pågående etterforskninger.

I 2020 ble det annonsert at prosjektet var ansett som avsluttet. Med en prislapp på over 100 millioner kroner var Omnia blitt implementert i en redusert versjon som saksbehandlingssystem med integrasjoner for Prüm-samarbeidet. Ved prosjektets avslutning var fortsatt flere av systemets kjernefunksjoner ikke-funksjonelle, og det var reist spørsmål om utvekslingen av personopplysninger i systemet var innenfor lovens grenser.176 Tolletaten har også inngått et samarbeid med Palantir, med mål om at selskapets programvare vil bidra til mer effektivt og målrettet arbeid.177

Politiet i Danmark har også inngått samarbeid med Palantir, gjennom prosjektet POL-INTEL. Dette systemet gjør det mulig å sammenstille og analysere informasjon på tvers av politiets registre.178 Før løsningen kunne tas i bruk, var det imidlertid nødvendig med en lovendring, da slik sammenstilling av opplysninger var på kant med blant annet prinsippene om dataminimering og formålsbestemthet i personvernforordningen. I 2017 ble en lovendring vedtatt. Loven gir dansk politi hjemmel til å foreta tverrgående informasjonsanalyser i politiets registre, samt å kunne samle og behandle opplysninger fra offentlig tilgjengelige kilder (inkludert å kjøpe personopplysninger fra datameglere),179 dersom «det er nødvendig av hensyn til utførelsen av politiets oppgaver». Kritikere av lovendringen har påpekt at dette nærmest avskaffer formålsbegrensingsprinsippet for dansk politi, på bekostning av innbyggernes personvern.180

Det har blitt stilt en rekke spørsmål ved konsekvensene av at organer i justissektoren inngår samarbeid med kommersielle teknologiselskaper, fra blant annet pressen,181 Datatilsynet,182 akademikere183 og politikere.184 Kritikken har inkludert spørsmål om hvordan personvernhensyn vurderes før og når teknologien anskaffes og tas i bruk, programvarens treffsikkerhet og formål, manglende åpenhet hos selskapene om systemene samt i de inngåtte avtalene, og at slike samarbeid kan skape uheldige avhengighetsforhold mellom justissektoren og store teknologiselskaper.

Personvernkommisjonen mener det er avgjørende med åpenhet og muligheter for kontroll ved anskaffelser i justissektoren. Ved anskaffelse av potensielt inngripende verktøy må personvernvurderinger være en sentral del av beslutningsgrunnlaget.

7.4.5.2 Utfordringer ved bruk av maskinlæringsmodeller i justissektoren

På grunn av informasjonsbehovet i justissektoren, kan bruk av maskinlæringssystemer og stordataanalyse være egnede verktøy.185 Det utvikles en rekke verktøy som tar i bruk maskinlæring for å bidra til kriminalitetsbekjempelse og forebygging. Bruken av slike verktøy kan føre til mer effektiv ressursbruk, og kan for eksempel bidra til å redusere vilkårlighet og forskjellsbehandling. Gode verktøy kan også hjelpe politiet å utføre sitt samfunnsoppdrag på en bedre måte. Maskinlæringssystemer kan for eksempel benyttes til å profilere og organisere, se sammenhengen mellom ulike digitale identiteter som en gjerningsperson har brukt, flagge mistenkelig atferd på internett, eller søke etter utvalgte ord eller temaer i samtaler eller i kommentarfelt.

Som drøftet i kapittel 6, forutsetter ansvarlig bruk av maskinlæringssystemer at det gjennomføres gode forhåndsvurderinger og at det foreligger grundig dokumentasjon av systemene. Dersom teknologien ikke brukes riktig, innebærer det enkelte utfordringer, både ved bruk i politiet og i domstolsystemet. Disse vurderes kort nedenfor.

Som beskrevet i kapittel 5, kan maskinlæringssystemer ha alvorlige feilkilder som kan føre til uriktige resultater. Dette kan ha særlig alvorlige konsekvenser for enkeltindivider dersom systemene anvendes innenfor justissektoren.

Maskinlæringssystemer kan komme til unøyaktige resultater eller gjenskape diskriminerende mønstre som har satt seg i praksis over en lengre periode. Feil og systematiske skjevheter kan ha ulike kilder, som kan spores helt tilbake til hvilke treningsdata som var brukt ved utviklingen og testingen av systemet. Data som brukes i analysene gjenspeiler ikke nødvendigvis virkeligheten. Dersom algoritmer som er tenkt brukt i justissektoren trenes på data fra tidligere avsagte dommer kan de gjenta systematiske skjevheter fra tidligere praksis.186 Data om kriminelle handlinger eksisterer kun dersom politiet oppdaget og registrerte handlingen, som betyr at det ofte er snakk om arrestasjonsdata i stedet for faktisk informasjon om kriminalitet. Dersom enkelte befolkningsgrupper eller geografiske områder oftere havner i politiets søkelys enn andre grupper, vil datagrunnlaget for systemene kunne føre til at beslutninger rammer skjevt og/eller diskriminerende.

Det kan også oppstå feil i utvelgelsen av variabler som danner grunnlaget for en avgjørelse. Når maskinlæringssystemet skal trenes, legger utvikleren som regel inn all informasjon man vurderer som relevant for systemets oppgaver. Det kan inkludere inntekt, hvor man bor, om man har kriminelle foreldre, og en lang rekke andre faktorer som kan vurderes som relevante. Dersom disse variablene overlapper med beskyttede kategorier, for eksempel ved at bosted korrelerer med etnisitet, kan konsekvensen i praksis bli som om man brukte etnisitet som en variabel i systemet.187

På justisområdet vil slike feil eller uheldige slutninger kunne ha svært alvorlige konsekvenser for den enkelte. Dette er også grunnen til at det nye forslaget til forordning for kunstig intelligens kvalifiserer anvendelse av denne typen teknologi til «rettshåndhevelse, migrasjon, asyl og grensekontroll, samt rettspleie og demokratiske prosesser», som høyrisiko, og dermed underlagt strenge forpliktelser før løsningene slippes ut på markedet.188 Forslaget til forordning for kunstig intelligens omtales nærmere i kapittel 9 om forbrukernes personvern.

Som beskrevet i kapittel 5, kan det være vanskelig å forstå hvordan et maskinlæringssystem har kommet frem til en bestemt avgjørelse. Manglende transparens kan føre til at systemene blir en «svart boks», som gjør at det kan være svært vanskelig for sakens parter å bestride avgjørelsen. Dersom teknologien er utviklet av et privat selskap, er det ikke uvanlig at systemets interne logikk hemmeligholdes som en forretningshemmelighet.

Det kan også oppstå utfordringer dersom maskinlæringssystemer som forutser risiko benyttes som beslutningsstøtte i justissektoren. Ved å analysere store mengder informasjon om befolkningen, kan det utledes risiko for at et individ for eksempel vil komme i kontakt med kriminelle miljøer, utføre kriminelle handlinger, eller få tilbakefall ved prøveløslatelse. I tilfeller der slike systemer brukes til beslutningsstøtte uten at nødvendige risikovurderinger er gjort i forkant, kan individer settes under mistanke på grunn av antatte fremtidige handlinger basert på statistikk og informasjon om store deler av befolkningen. Som beskrevet i kapittel 6, kan det være vanskelig eller umulig for saksbehandlere å overprøve anbefalinger fra maskinlæringssystemer dersom nødvendige forbehold ikke er tatt. Dersom beslutninger tas basert på kompliserte statistiske modeller som er vanskelig å forklare eller forstå, kan det skape grunnleggende utfordringer for rettssikkerheten ved at det blir vanskelig å forklare hvorfor man har landet på den konkrete beslutningen.

Personvernkommisjonen er bekymret for feil bruk av maskinlæringssystemer i justissektoren. Beslutninger som ikke kan etterprøves eller fører til at store mengder opplysninger om den enkelte innbygger samles inn og behandles, vil i ytterste konsekvens kunne føre til nedkjølingseffekter og svekket ytringsfrihet, bevegelsesfrihet og rettssikkerhet.

Personvernkommisjonen mener det bør tas spesielt hensyn til etterprøvbarhet og ivaretagelse av den enkeltes rettigheter ved bruk av maskinlæringssystemer i justissektoren. For at slike metoder skal kunne tas i bruk i Norge, må de også være forklarbare for den som anvender teknologien, og risikovurderinger og pålagt teknisk dokumentasjon må foreligge i tråd med forslaget om forordning for kunstig intelligens.189

7.4.5.3 Utfordringer ved bruk av store datamengder

Muligheten for å analysere og anvende store informasjonsmengder (stordataanalyse) kan være et nyttig verktøy for politiet. Det kan for eksempel bidra til å identifisere personer som har beveget seg i nærheten av et åsted eller finne personer som er etterlyste. Samtidig reiser bruken av store mengder data for å gjennomføre analyser i justissektoren noen prinsipielle spørsmål om hvor grensen går mellom kriminalitetsforebyggende hensyn og retten til personvern.

Stordataanalyse vil i mange tilfeller forutsette at personopplysninger om store befolkningsgrupper behandles for å finne mønstre som kan identifisere mistenkte eller annen relevant informasjon i en pågående sak. I slike tilfeller vil et stort antall individer som ikke har noe med saken å gjøre indirekte kunne havne i politiets søkelys.

For eksempel utreder politiet i Norge mulighetene for bruk av DNA-analyser ved hjelp av kommersielle slektskapsdatabaser. Denne utviklingen har blitt kritisert av Datatilsynet på grunn av overvåkningspotensialet ved bruk av kommersielle databaser, da det innebærer behandling av personopplysninger om individer utenfor mistanke.190 I 2020 ble det svenske politiet bøtelagt av det svenske datatilsynet for å ha anvendt kommersielle slektskapsdatabaser i etterforskningen av en drapssak uten å ha gjennomført nødvendige personvernvurderinger.

Som beskrevet i kapittel 5, er bruk av ansiktsgjenkjenning og lignende verktøy for biometrisk fjernidentifisering særlig inngripende for personvernet, da det innebærer registrering av en stor mengde individer som ikke er under mistanke. Dersom kameraer som bruker ansiktsgjenkjenningsteknologi plasseres i offentlig rom for å identifisere mistenkte individer, vil nødvendigvis biometriske data registreres om samtlige personer som fanges opp av kameraet. I motsetning til tidligere bruk av kameraovervåkning, forutsetter ikke ansiktsgjenkjenningssystemer at en etterforsker må gjennomgå materialet manuelt for å registrere individer av interesse – samtlige personer som fanges opp av kameraet registreres automatisk i sanntid. Dette legger press på personvernet til individer som i utgangspunktet ikke er i politiets søkelys. Det kan også oppstå problemer dersom systemet identifiserer feil person. Erfaringer fra andre land viser at enkelte ansiktsgjenkjenningssystemer har lavere treffsikkerhet i å korrekt identifisere individer fra enkelte etnisiteter eller grupper sammenlignet med andre etnisiteter og grupper, noe som kan få alvorlige følger dersom uskyldige blir feilaktig identifisert.191

Personvernkommisjonen anbefaler et generelt forbud mot bruk av ansiktsgjenkjenning og annen biometrisk fjernidentifikasjon i offentlige rom. Et slikt forbud vil åpenbart begrense mulighetene for oppklaring av enkelte former for kriminalitet, men etter kommisjonens syn er teknologien såpass inngripende at den vanskelig kan forenes med grunnleggende rettigheter og samfunnsverdier.

Muligheten for og ønsker om masseinnsamling av data som en del av kriminalitetsbekjempelse kan også føre til at individer som ikke ønsker å spores eller registreres på nett, mistenkeliggjøres. Teknologi for å kommunisere fritt og sikkert via internett er et viktig verktøy for å ivareta grunnleggende rettigheter som ytringsfrihet og personvern. For eksempel er ende-til-ende-kryptering et verktøy som gjør at kommunikasjon ikke kan fanges opp og leses av uvedkommende. Enkelte myndigheter har uttrykt ønske om å forhindre eller forby bruk av ende-til-ende-kryptering, fordi teknologien kan gjøre det vanskeligere å avdekke kriminelle nettverk.192 Slike lovforslag har blitt møtt med motstand og argumenter om at kryptert kommunikasjon blant annet er et nødvendig verktøy for journalister,193 aktivister, varslere, utsatte grupper i konfliktsoner194 og generelt for innbyggere som ønsker å kommunisere privat og sikkert.

Personvernkommisjonen mener det er viktig at politiet settes i stand til å håndtere alvorlig kriminalitet, men dette bør skje med minst mulig inngrep i mulighetene for fri og sikker kommunikasjon. Mistankekrav og krav om klar og tydelig lovhjemmel og domstolskontroll ved inngrep må ligge fast.

7.4.6 Personvernkompetanse

Når nye digitale verktøy og metoder vurderes tatt i bruk som ledd i myndighetsutøvelsen i justissektoren, er det et lederansvar å sørge for at ansatte har tilstrekkelig personvernkompetanse og at det finnes gode rutiner, som sørger for at personvernet til de som berøres av verktøyene og metodene ivaretas. Det er også et lederansvar å påse at virksomheten har tilstrekkelig personvernkompetanse til å foreta grundige personvernvurderinger i forbindelse med både lovarbeid og anskaffelse og bruk av verktøy som kan gripe inn i personvernet til innbyggerne. I 2021 ble det, som beskrevet i avsnitt 7.4.5, avslørt at enkelte tjenestepersoner i svensk politi hadde valgt å ta i bruk det inngripende ansiktsgjenkjenningsverktøyet Clearview AI, uten at dette var forankret i organisasjonen. Dette illustrerer viktigheten av gode rutiner, opplæring og etablering av robuste kontrollrutiner som kan avdekke avvik og kontroller at rutiner følges.

Personvernkommisjonen kan ikke se at politiet i tilstrekkelig grad har vektlagt å øke medarbeidernes bevissthet rundt personvern. Personvernkompetanse og -kultur må forankres i ledelsen i politiet. Det må også vies ressurser til at personvernombud kan legge til rette for kompetanseheving i organisasjonen.

Etablering av en god personvernkultur er en forutsetning for systematisk, varig og god ivaretakelse av personvernet. Det innebærer en grunnleggende forståelse og oppfatning i organisasjonen av at personvern er en verdi i seg selv, ikke en bremsekloss som kommer i veien for utførelsen av andre oppgaver. Personvernkulturen må være forankret på ledelsesnivå for å bli en integrert del av organisasjonen.

Kripos har gitt innspill til kommisjonen om at bevisstheten om personvern er økende i politiet. Kripos har bygget et personvernfaglig miljø som de anser positivt for både etatens etterlevelse av regelverket, personvernet til de registrerte, samt for en effektiv kriminalitetsbekjempelse. I følge Kripos er det imidlertid store forskjeller på personvernkompetansen i enhetene i politiet.

Etter samtaler med aktører i justissektoren er det Personvernkommisjonens inntrykk at personvernvurderinger og interesseavveininger ofte overlates til den enkelte ansatte ved behandling av konkrete saker. Dette kan skape utfordringer for personvernet, for eksempel ved at mangelfulle vurderinger fører til uforholdsmessig eller vilkårlig praksis.

Politidirektoratet er behandlingsansvarlig for politiets sentrale behandlinger av personopplysninger etter personopplysningsloven. På politiregisterlovens område er det for de fleste av de sentrale registrene angitt i politiregisterforskriften at det er Kripos som er behandlingsansvarlig.

Kripos har videre det overordnede fagansvaret for personvern i politiet og ivaretar dette ansvaret ved generell opplæring, utarbeidelse av skjemaer, maler og sjekklister for vurderinger av personvernkonsekvenser. Gjennom kompetansetiltak rettet mot personvernombud og personvernrådgivere legger Kripos til rette for at kompetansekrav på personvernområdet er definert og blir innarbeidet enhetlig i de ulike politidistriktene.

Kripos er behandlingsansvarlig, men oppfølgingen av ansvaret er delegert nedover i styringslinjen. Det synes ikke å være tilstrekkelig avklart hvilke vurderinger som skal gjøres sentralt og hvilke som skal gjøres lokalt. Dette kan henge sammen med mangelfulle internkontrollrutiner eller mangelfull implementering av rutinen, eller med utydelige roller og ansvar. Kripos har uttrykt til kommisjonen at det er ønskelig med 100 % dedikerte personvernressurser i politidistriktene. Økt kompetanse og økt bevissthet vil gjøre tjenestepersoner mer rustet til å foreta flere av vurderingene selv, og velge personvernvennlige fremgangsmåter.

Personvernkommisjonen mener tjenestepersoner i politiet bør ha grundigere opplæring i personvern enn det som i dag er tilfellet. Behovet er spesielt stort i forbindelse med bruk av IKT-systemer i det daglige politiarbeidet, ved vurdering av personvernkonsekvenser ved innhenting og utlevering av personopplysninger, og ved samarbeid med andre offentlige eller private virksomheter.

Politidistriktene har opprettet enheter for digitalt politiarbeid (DPA), som bistår i etterforskningen av IKT-kriminalitet, og i sikring og analyse av elektroniske spor. I tillegg til særorganer som Kripos og Økokrim, har disse enhetene en avgjørende rolle, ikke bare i etterforskningen av IKT-kriminalitet, men også i etterforskningen av øvrige saker der det innhentes og behandles digitale spor.

Personvernkommisjonen mener personvernkompetansen i enhetene for digitalt politiarbeid (DPA) i politidistriktene bør styrkes, slik at alle operative beslutninger knyttet til elektronisk behandling av personopplysninger foregår innenfor eksisterende rettslige rammer for personvern, og etter robuste risikovurderinger. DPA-enhetenes samarbeid med personvernrådgivere og personvernombud i politiet må avklares og innarbeides mer enhetlig, gjerne gjennom nasjonale retningslinjer.

Personvernkommisjonen har fått innspill om at det ikke er opplæring om politiregisterloven eller personvernregelverket i politiutdanningen. Personvernkommisjonen mener dette er svært uheldig, da politiet jevnlig må forholde seg til registrene og bør ha kunnskap om regelverket. Mangel på personvernkompetanse og kunnskap om regelverket kan føre til formålsutglidning, ved at personopplysninger benyttes uten faktisk rettslig grunnlag. Dette kan også føre til at den enkelte blant annet ikke har mulighet til å ivareta sine rettigheter og ikke blir informert tilstrekkelig. En annen konsekvens er at tilliten til politiet kan svekkes.

Ved Politihøgskolen undervises det i etikkfag i alle årene i den treårige utdannelsen. Det første studieåret må studentene gjennom faget «Politi, samfunn og etikk» hvor ett av læringsmålene er at studenten skal ha «kjennskap til teknologisk utvikling og digitaliseringens muligheter og utfordringer».195 Utover dette ser det ikke ut til at personvern er en egen del av utdanningsprogrammet.

Personvernkommisjonen mener undervisningen i personvern ved Politihøgskolen må styrkes. Politihøgskolen har en viktig oppgave i å bygge opp forståelse allerede i utdanningsløpet for viktigheten av personvern i politiets daglige arbeid. Dette vil bidra til å heve bevisstheten om personvern i politiet og bygge en sterkere kultur for vektlegging av personvernhensyn.

7.4.7 Systemer og verktøy for å ivareta personvernet

I tillegg til klare lovhjemler, tydelige ansvarsforhold og kompetanse, er gode informasjonssystemer og god infrastruktur en forutsetning for godt personvern. Manglende opplysnings- og systemkvalitet vil kunne gi en rekke uønskede konsekvenser. Innen justissektoren vil slike feil kunne få svært alvorlige konsekvenser for den enkelte, for eksempel urettmessig strafferettslig forfølgning.

Personvernkommisjonen har mottatt innspill fra politiet om at det er personvernutfordringer knyttet til bruk av politiets interne systemer. Blant annet oppstår det problemer ved saksbehandlings- og arkiveringssystemet Websak, som i følge Kripos skaper utfordringer med å ivareta personvernet ved utveksling av informasjon. Systemet har også skapt utfordringer ved bruk av tilgangskontroll og skjerming av materiale.

Personvernkommisjonen peker på at det er avgjørende at politiet har interne systemer som er utformet for å gjøre saksbehandlere i stand til å ivareta personvernet.

I det følgende vil Personvernkommisjonen trekke frem noen eksempler på systemer og verktøy som ikke ivaretar hensynet til personvern i tilstrekkelig. Det gjelder personvernutfordringer i forbindelse med digitale beslag og ved utveksling av dokumenter i justissektoren.

7.4.7.1 Håndtering av digitale beslag og overskuddsinformasjon

Riksrevisjonen avdekket i sin undersøkelse at politiet mangler en tilfredsstillende infrastruktur for håndtering av digitale beslag. Det digitale lagringsnettet (Digitale spor og beslag – DSB-nettet), som er tatt i bruk i alle politidistrikt med unntak av Oslo Politidistrikt, dekker ikke fult ut politiets behov for deling og lagring av elektronisk bevismateriale.

Personvernkommisjonen har gjennom dialog med nøkkelpersoner i politiet også fått opplyst at manglende mulighet til å filtrere bort overskuddsinformasjon ved beslag av digitale lagringsenheter, utgjør en særlig risiko for de registrertes personvern.196 Når politiet beslaglegger en digital enhet, som for eksempel en datamaskin eller en mobiltelefon, vil det ofte også følge med informasjon som ikke er relevant for saken. Det finnes i dag ikke tekniske muligheter/verktøy for å filtrere bort slik overskuddsinformasjon. Det finnes heller ikke en spesialisert enhet197 som har myndighet til å gjennomgå og filtrere bort åpenbart irrelevante personopplysninger. Konsekvensen av at det per i dag ikke foreligger tekniske muligheter til å filtrere ut overskuddsinformasjon, eller en spesialisert enhet som har som oppgave å trekke ut informasjon uten betydning, er at mengder av personopplysninger som ikke er relevant for saken blir tatt vare på, og gjort tilgjengelig for mange.

Et tungtveiende argument for å begrense adgangen til bruk av overskuddsinformasjon er at bruk av slikt materiale, i tillegg til å berøre personvernet til den som er involvert i saken, også ofte vil utgjøre et inngrep overfor andre personer som informasjonen omhandler, og som ikke nødvendigvis har gjort noe straffbart. Hensynet til utenforstående tredjepersoner taler for at bruken av overskuddsinformasjon bør begrenses.

I desember 2020 ble Norge dømt i den Europeiske menneskerettsdomstolen for krenkelse av EMK artikkel 8, i forbindelse med beslaget av mobiltelefonen til en siktet.198 Etter straffeprosessloven § 119 har politiet ikke adgang til å ta beslag i korrespondanse mellom siktede og forsvareren, og i denne konkrete saken påberopte siktede seg at det fantes slikt materiale på telefonen. For å finne ut hva som er advokatkontakt, må noen se gjennom materialet. Kjernen i problemet er hvem som skal gjøre utsorteringen av materiale som er underlagt beslagsforbud. Norge ble derfor dømt for å ikke ha en prosess for utfiltrering av informasjon omfattet av yrkesmessig taushetsplikt ved beslag av digitale enheter. EMD mente det rettslige rammeverket rundt prosessen med utsortering var for uklart, og at Norge derfor ikke i tilstrekkelig grad beskyttet den beslagsfrie advokatkorrespondansen.

Avgjørelsen fra EMD medfører at norsk påtalemyndighet nå har plikt til å sortere ut materiale som kan være omfattet av beslagsforbud, og levere dette tilbake uten nærmere gjennomsyn. Materiale som det kan reises spørsmål om er undergitt beslagsforbud, skal usett overleveres til tingretten for gjennomgang.

Ved et direktiv fra riksadvokaten i juni 2021 ble det innført et system der en egen teknisk enhet, organisatorisk atskilt fra etterforskningsenheten, har ansvar for å gjennomgå digitale enheter i forbindelse med beslag. Ordningen skal hindre at etterforskere får innsyn i opplysninger som det er forbudt å beslaglegge.

Personvernkommisjonen har blitt gjort oppmerksom på at det i enkelte europeiske politisystem finnes ordninger som setter skranker for politiets tilgang til all informasjon i en etterforskning, og ikke bare den som ikke kan beslaglegges. Det dreier seg om egne tekniske enheter i politiet som går gjennom for eksempel den beslaglagte informasjonen fra den aktuelle smarttelefon og deretter gir etterforskerne tilgang til det de mener er relevante opplysninger, basert på en bestilling fra dem som etterforsker den konkrete saken. Politibetjentene i de tekniske enhetene er ikke involvert i etterforskningen.

Personvernkommisjonen mener norske myndigheter bør innhente erfaringer fra andre land om ordninger for å filtrere bort overskuddsinformasjon ved beslag av digitale lagringsenheter og vurdere å etablere en lignende ordning. Personvernhensyn må alltid veies opp mot hensynet til oppklaring av kriminalitet der man i en dynamisk etterforskning ikke alltid i starten har full oversikt over hva slags informasjon som senere kan vise seg å få betydning som bevis.

7.4.7.2 Utlevering av dokumenter til advokater

Det kan oppstå personvernutfordringer ved bruk av enkelte av dagens systemer for utveksling av dokumenter i justissektoren, blant annet ved overføring av straffesaksdokumenter til advokater. Personvernkommisjonen har hatt dialog med representanter fra politiet og Advokatforeningen, som belyser at reglene om dokumentutlevering praktiseres ulikt mellom politidistrikter. Både politiet og Advokatforeningen vurderer dagens ordning for dokumentkopier og utlån som uhensiktsmessig og ressurskrevende, og risikoen for spredning av personopplysninger fremstår som stor.

Selv om utsendelse av dokumenter til forsvarere og til domstol i stor grad skjer via Altinn, har politiet opplyst til Personvernkommisjonen at det oppleves at det er lite kontroll med bruk av kopier etter at de er kommet frem til mottakere. Utlevering av dokumentkopier foregår i utstrakt grad, noe som innebærer en stor risiko for at informasjon kommer på avveie. Når det gjelder store mengder data som advokater har saksinnsyn i, utleveres disse på krypterte lagringsenheter. I flere tilfeller kopieres data deretter over fra lagringsenheten til andre lagringsmåter som ikke nødvendigvis ivaretar krav til informasjonssikkerhet ved oppbevaring av særlige kategorier av personopplysninger.

Politiet erfarer også at det kan være utfordrende å få tilbakelevert dokumenter fra advokater. Dette gjelder særlig ved advokat/forsvarerbytte. Dette kan også føre til at personopplysninger kommer på avveie. For eksempel kan informasjon som er slettet hos politiet dukke opp i forbindelse med en annen sak, som følge av lav bevissthet og kontroll på sletting og gjenbruk av opplysningene hos advokatene. Kripos opplyser også at det er noe uklart hvilke regler som gjelder for forsvareres videre oppbevaring av dokumentene, og praksis kan synes å variere også her. Personvernkommisjonen har fått opplyst at Tilsynsrådet for Advokatvirksomhet har intensivert kontroll med advokatenes behandling av utlevert materiale. Dette er en positiv utvikling og noe som definitivt er med på å redusere risikoen, men det er fortsatt et behov for bedre tekniske løsninger for utlevering og oppbevaring.

Utfordringene ved at personopplysninger kommer på avveie, samt størrelsen på filene det gis tilgang til, tilsier at elektronisk tilgang via en plattformløsning med sikkert grensesnitt og uten nedlastningsmuligheter vil gi bedre kontroll på utlevering av personopplysninger enn dagens ordning via Altinn. En mulig slik løsning er nærmere beskrevet i Kripos sin høringsuttalelse til Metodekontrollutvalgets rapport.199 Domstolene forvalter også en aktørportal hvor advokater kan utveksle informasjon med domstolene.200

Personvernkommisjonen har ikke hatt kapasitet til å undersøke systemer for dokumentutveksling i forvaltningen av sivile saker, men det er grunn til å tro at disse systemene kan ha lignende svakheter knyttet til tilgangskontroll, gjenbruk og ulik praksis. I tillegg til et behov for bedre systemer for utlevering av dokumenter, er det også utslagsgivende at mottaker av dokumenter har egne systemer som også ivaretar sikkerheten og personvernet.

Personvernkommisjonen mener Justis- og beredskapsdepartementet bør etablere en samhandlingsplattform for dokumentutlevering i justissektoren. Plattformen bør utvikles med personvern og sikkerhet for øye, og bør blant annet ha funksjoner for å begrense muligheter for nedlasting og loggingsfunksjoner for å begrense urettmessig gjenbruk av dokumenter.

Personvernkommisjonen mener Justis- og beredskapsdepartementet bør etablere en norm for IKT-sikkerhet og investere tyngre fremover ved bestilling/kravsetting og utvikling av løsninger som tilfredsstiller kravene til innebygd personvern.

7.4.8 Tilsyn og kontroll med behandlingen av personopplysninger

Tilsyn og kontroll er nødvendige kontrollmekanismer for å sikre forsvarlig og lovlig behandling av personopplysninger.

Datatilsynet fører tilsyn med at politiets og påtalemyndighetens behandling av personopplysninger følger loven og forskrifter gitt i medhold av loven, og at feil eller mangler blir rettet.201 PST er unntatt Datatilsynets tilsynskompetanse, idet tilsynskompetansen som tidligere nevnt ligger hos Stortingets eget kontrollutvalg for de hemmelige tjenestene (EOS-utvalget).202 Datatilsynet kan iverksette tilsyn med behandling av personopplysninger etter politiregisterloven enten etter anmodning fra den registrerte (eller den som tror den er registrert), eller på eget initiativ.

Datatilsynets plikter å iverksette kontroll etter begjæring fra den registrerte, jf. politiregisterloven § 59. Bestemmelsen gir den registrerte en rett til å begjære en slik undersøkelse, noe som innebærer tilsvarende plikt for Datatilsynet til å undersøke om opplysningene om klageren er riktige, og om de er registrert og brukt i samsvar med loven. Tilsvarende rettighet tilkjennes den registrerte i medhold av SIS-loven § 21. Tilsynet skal iverksette undersøkelse av hvorvidt «opplysningene om vedkommende er behandlet i samsvar med loven og at reglene om innsyn er fulgt». Det stilles ikke krav om at klageordningen internt i politiet må være uttømt før man henvender seg til Datatilsynet, noe som betyr at den registrerte står fritt til å velge om vedkommende vil rapportere til tilsynet eller klage til overordnet organ i politiet.

Det finnes, så langt Personvernkommisjonen er kjent med, ikke offentlig tilgjengelig statistikk over antallet registrerte som benytter seg av denne retten til å klage. Datatilsynet opplyser i årsmeldingene for 2020 og 2019 at de har behandlet en rekke forespørsler om «innsyn i SIS», men uten at dette er tallfestet. Tilsvarende informasjon om bruk av tilsynsmyndighet på anmodning fra de registrerte etter politiregisterloven er ikke gitt.

Personvernkommisjonen mener Datatilsynet og politiet bør føre statistikk over antallet personer som årlig benytter seg av retten til å klage inn politiets behandling av personopplysninger. Offentliggjøring av slik statistikk kan bidra til å løfte bevisstheten om retten til å klage.

Datatilsynet kan videre igangsette tilsyn med behandling av personopplysninger etter politiregisterloven på eget initiativ. Personvernkommisjonen stiller spørsmål ved om Datatilsynet i tilstrekkelig grad benytter tilsynsmyndigheten de er gitt etter politiregisterloven. Ingen av de sentrale, bindende avgjørelsene som Datatilsynet trekker frem i sine årsrapporter i 2019 – 2021 gjelder justissektoren. Ingen av kontrollaktivitetene som er gjennomført de siste fem årene omhandler informasjonssikkerhet og internkontroll i forbindelse med behandling av personopplysninger etter politiregisterloven.

Personvernkommisjonen er imidlertid kjent med at Datatilsynet har gjennomført og planlegger tilsyn i justissektoren i 2022. I 2021 ble det gjennomført tilsyn med Kriminalomsorgsdirektoratet. Personvernkommisjonen anser det som viktig at Datatilsynet gjennomfører lovpålagt tilsynsarbeid på justisområdet.

Kommunikasjonskontrollutvalget

Kommunikasjonskontrollutvalget skal kontrollere at politiets bruk av kommunikasjonskontroll, romavlytting og dataavlesing skjer innenfor rammen av lov og instrukser, og at tvangsmiddelbruken begrenses mest mulig.203 Utvalget behandler klager fra enkeltpersoner eller organisasjoner som mener seg urettmessig utsatt for kommunikasjonskontroll og kan også ta opp saker eller forhold i tilknytning til politiets og påtalemyndighetens bruk av kommunikasjonskontroll som det finner grunn til å behandle.

Personvernkommisjonen har ovenfor anbefalt at politiets metodebruk evalueres jevnlig, og kommisjonen anbefaler at det utvalget som får denne oppgaven også blir bedt om å vurdere om Kommikasjonskontrollutvalget bør styrkes og mandatet utvides til å omfatte kontroll med andre av politiets metoder enn kommunikasjonskontroll, romavlytting og dataavlesning. En styrking av Kommunikasjonskontrollutvalget vil være et viktig supplement til andre rettssikkerhetsgarantier, som vurderinger av personvernkonsekvenser og domstolskontroll.

Personvernkommisjonen mener videre det er viktig at Kommunikasjonskontrollutvalgets sekretariat har kompetanse på personvern.

7.5 Personvernkommisjonens anbefalinger oppsummert

Behandlingsansvaret i kriminalomsorgen

• Personvernkommisjonen mener Justis- og beredskapsdepartementet, i arbeidet med ny lov om straffegjennomføring, bør tydeliggjøre behandlingsansvaret i kriminalomsorgen og legge ansvaret til den virksomhet som utfører den faktiske behandlingen av personopplysninger.

Internasjonalt samarbeid

• Personvernkommisjonen mener funnene EDPS har avdekket, om at EUROPOL mottar store mengder personopplysninger fra politiet i medlemsland, må følges opp av norske myndigheter for å sikre at personvernet til norske innbyggere blir ivaretatt når politiet overfører opplysninger til EUROPOL. Kommisjonen antar at tilsvarende problemstillinger kan foreligge i andre sammenhenger hvor informasjon utveksles mellom politimyndigheter, for eksempel mellom Norge og INTERPOL, og at dette også må følges opp.

Vurderinger av personvernkonsekvenser i lovarbeid

• Personvernkommisjonen mener departementene i større grad bør rådføre seg med Datatilsynet i forbindelse med lov- og forskriftsarbeid for å sørge for at personvernkonsekvenser drøftes i tilstrekkelig grad. En grundig vurdering av personvernkonsekvenser i lovarbeider er en forutsetning for demokratisk kontroll.

• Personvernkommisjonen mener regjeringen må bevilge midler til forskning på samfunnsmessige konsekvenser av overvåkningstiltak i justissektoren. Dette er viktig kunnskap for å være i stand til å gjøre helhetsvurderinger ved innføring av lovendringer.

Vurderinger av personvernkonsekvenser i myndighetsutøvelsen

• Personvernkommisjonen mener Justis- og beredskapsdepartementet må vurdere om alle bestemmelsene i politidirektivet skal implementeres i politiregisterloven. En harmonisering av loven med direktivet vil gi klarere retningslinjer for personvernvurderinger og gjøre det enklere for tjenestepersoner å anvende loven.

• Personvernkommisjonen mener bruk av åpne kilder på internett kan skape særskilte personvernutfordringer. Kommisjonen er blant annet bekymret for hvilke nedkjølingseffekter som kan oppstå som følge av justissektorens bruk av åpne kilder på nett, og dette perspektivet må vektlegges ved utarbeidelse av interne instrukser og lignende.

• Personvernkommisjonen mener at dersom det igangsettes tiltak som innebærer masseinnsamling av personopplysninger for nærmere angitte formål, er det viktig at metoder for dataseparasjon følges for å sikre at data kun benyttes til formål lovgiver har vurdert det nødvendig for.

• Personvernkommisjonen mener ledelsen i politiet må ha høy bevissthet om faren for formålsutglidning, og at risikoen for slik utglidning må reduseres gjennom etablering av organisatoriske og tekniske tiltak. Et viktig tiltak i denne sammenheng er å bygge en god personvernkultur. Dette er et lederansvar.

Åpenhet

• Personvernkommisjonen anbefaler at det nedsettes et utvalg for å utrede metodebruken i justissektoren. Utvalget bør særlig vurdere personvernkonsekvenser av politiets metoder, særlig sett opp mot formålsprinsippet og proporsjonalitetsprinsippet. Dette arbeidet forutsetter at utvalget har tilgang på nødvendig informasjon om bruken av inngripende metoder og skjulte tvangsmidler. Dette er viktig både som et tillitsbevarende tiltak, og for å reise en åpen og demokratisk debatt om hvor grensen mellom personvern og kriminalitetsbekjempelse og forebygging bør gå.

Domstolskontroll

• Personvernkommisjonen mener det bør vurderes om dagens domstolskontroll av politiets tiltak bør utvides til å omfatte flere tiltak enn i dag. Kommisjonen understreker videre viktigheten av at bestemmelser som hjemler forskjellige tvangsmidler formuleres slik at effektiv og reell domstolskontroll blir mulig.

• Personvernkommisjonen mener det bør innføres et tillegg i straffeprosessloven § 170a som sikrer at det gjøres en vurdering av at den samlede bruken av ulike etterforskningsmetoder ikke blir et uforholdsmessig inngrep. I et slikt tillegg bør det understrekes at hensynet til personvern skal vektlegges ved denne vurderingen.

Særskilte problemstillinger knyttet til bruk av ny teknologi

• Personvernkommisjonen mener det er avgjørende med åpenhet og muligheter for kontroll ved anskaffelser i justissektoren. Ved anskaffelse av potensielt inngripende verktøy må personvernvurderinger være en sentral del av beslutningsgrunnlaget.

• Personvernkommisjonen mener det bør tas spesielt hensyn til etterprøvbarhet og ivaretakelse av den enkeltes rettigheter ved bruk av maskinlæringssystemer i justissektoren. For at slike metoder skal kunne tas i bruk i Norge, må de også være forklarbare for den som anvender teknologien, og risikovurderinger og pålagt teknisk dokumentasjon må foreligge i tråd med forslaget om forordning for kunstig intelligens.

• Personvernkommisjonen anbefaler et generelt forbud mot bruk av ansiktsgjenkjenning og annen biometrisk fjernidentifikasjon i offentlige rom. Et slikt forbud vil åpenbart begrense mulighetene for oppklaring av enkelte former for kriminalitet, men etter kommisjonens syn er teknologien såpass inngripende at det vanskelig kan forenes med grunnleggende rettigheter og samfunnsverdier.

• Personvernkommisjonen mener det er viktig at politiet settes i stand til å håndtere alvorlig kriminalitet, men dette bør skje med minst mulig inngrep i mulighetene for fri og sikker kommunikasjon. Mistankekrav og krav om klar og tydelig lovhjemmel og domstolskontroll ved inngrep må ligge fast.

Kompetanse

• Personvernkommisjonen kan ikke se at politiet i tilstrekkelig grad har vektlagt å øke medarbeidernes bevissthet rundt personvern. Personvernkompetanse og -kultur må forankres i ledelsen i politiet. Det må også vies ressurser til at personvernombud kan legge til rette for kompetanseheving i organisasjonen.

• Personvernkommisjonen mener tjenestepersoner i politiet bør ha grundigere opplæring i personvern enn det som i dag er tilfellet. Behovet er spesielt stort i forbindelse med bruk av IKT-systemer i det daglige politiarbeidet, ved personvern og menneskerettighetsvurderinger ved innhenting og utlevering av personopplysninger, og ved samarbeid med andre offentlige eller private virksomheter.

• Personvernkommisjonen mener personvernkompetansen i enhetene for digitalt politiarbeid (DPA) i politidistriktene bør styrkes, slik at alle operative beslutninger knyttet til elektronisk behandling av personopplysninger foregår innenfor eksisterende rettslige rammer for personvern, og etter robuste risikovurderinger. DPA-enhetenes samarbeid med personvernrådgivere og personvernombud i politiet må avklares og innarbeides mer enhetlig, gjerne gjennom nasjonale retningslinjer.

• Personvernkommisjonen mener undervisningen i personvern ved Politihøgskolen må styrkes. Politihøgskolen har en viktig oppgave i å bygge opp forståelse allerede i utdanningsløpet for viktigheten av personvern i politiets daglige arbeid.

Systemer og verktøy for å ivareta personvernet

• Personvernkommisjonen mener norske myndigheter bør innhente erfaringer fra andre land om ordninger for å filtrere bort overskuddsinformasjon ved beslag av digitale lagringsenheter og vurdere å etablere en lignende ordning. Personvernhensyn må alltid veies opp mot hensynet til oppklaring av kriminalitet der man i en dynamisk etterforskning ikke alltid i starten har full oversikt over hva slags informasjon som senere kan vise seg å få betydning som bevis.

• Personvernkommisjonen mener Justis- og beredskapsdepartementet bør etablere en samhandlingsplattform for dokumentutlevering i justissektoren. Plattformen bør utvikles med personvern og sikkerhet for øye, og bør blant annet ha funksjoner for å begrense muligheter for nedlasting og loggingsfunksjoner for å begrense urettmessig gjenbruk av dokumenter.

• Personvernkommisjonen mener Justis- og beredskapsdepartementet bør etablere en norm for IKT-sikkerhet og investere tyngre fremover ved bestilling/kravsetting og utvikling av løsninger som tilfredsstiller kravene til innebygd personvern.

Tilsyn og kontroll

• Personvernkommisjonen mener Datatilsynet og politiet bør føre statistikk over antallet personer som årlig benytter seg av retten til å klage inn politiets behandling av personopplysninger. Offentliggjøring av slik statistikk kan bidra til å løfte bevisstheten om retten til å klage.

• Personvernkommisjonen anbefaler at utvalget som er foreslått nedsatt for å vurdere personvernkonsekvenser av politiets metoder, også blir bedt om å vurdere om Kommunikasjonskontrollutvalgets mandatet bør utvides til å omfatte kontroll med andre av politiets metoder enn kommunikasjonskontroll, romavlytting og dataavlesning. En styrking av Kommunikasjonskontrollutvalget vil være et viktig supplement til andre rettssikkerhetsgarantier, som vurderinger av personvernkonsekvenser og domstolskontroll.

8 Personvern i skolen og barnehagen

8.1 Innledning

Personvernkommisjonen skal ifølge mandatet kartlegge «hvordan barn og unges personvern ivaretas i Norge.» Herunder skal kommisjonen kartlegge «ivaretakelse av barns personvern i barnehage- og skolesektorene og skolenes bruk av «gratis» applikasjoner der det betales med barnas personopplysninger.» Kommisjonen vurderer mandatets ordlyd som todelt, men overlappende.

Barn og unge i Norge tilbringer store deler av hverdagen i barnehage og skole. I løpet av barnehage- og grunnskoleløpet samles det inn og behandles store mengder informasjon om barna, inkludert mange personopplysninger. Som i andre samfunnssektorer har digitaliseringen av skole og barnehage gått fort, og den økende bruken av digitale hjelpemidler og verktøy har ført til at personopplysninger samles inn og behandles i stadig større grad. Barn har et særskilt krav på beskyttelse, og har i hovedsak ikke muligheten til å velge bort de digitale løsningene. Dette betyr at det er særdeles viktig at personvernet er på plass før verktøy tas i bruk.

Skole- og barnehagesektorenes behandling av personopplysninger er nødvendig for å sikre et godt utdanningsløp, men forutsetter gode systemer og rutiner for å sikre ansvarlig behandling av opplysningene. I norske skoler tas det i bruk digitale verktøy i utstrakt grad. Disse verktøyene er ofte levert av private aktører. I mange tilfeller er disse aktørene store internasjonale teknologiselskaper, hvor skoleadministrasjonen og kommunene har få eller ingen muligheter til å påvirke selskapenes behandling av personopplysninger. Utdanningssektoren er et attraktivt marked for disse selskapene, blant annet fordi det gjør det mulig å skape tidlige forbrukerrelasjoner med elevene. Utviklingen medfører at både administrasjon, lærere og barn kan få tilgang til nyttige tjenester, men den kan også ha negative konsekvenser for personvern og IKT-sikkerhet.

Personvernkommisjonen erfarer at det er betydelige forskjeller mellom kommunene og den enkelte skole og barnehage når det gjelder både bruk av digitale verktøy og ivaretagelse av personvern. Det eksisterer få nasjonale retningslinjer for hvordan digitaliseringen i sektoren skal gjennomføres på en personvernvennlig måte, og mange skoler og kommuner har begrensede midler og kompetanse til å ivareta sitt ansvar på feltet. I verste fall kan dette føre til at skoler og barnehager tar i bruk verktøy uten at det gjennomføres kvalitetskontroll av nytteverdien eller foretas vurderinger av konsekvenser for personvernet. Det kan medføre at barns personopplysninger kommer på avveie eller blir en handelsvare for internasjonale teknologiselskaper. Personvernkommisjonen mener at kommersiell utnyttelse av elevers personopplysninger er uakseptabelt.

For barn og unge i skolen, handler personvern om at foreldre og barn skal vite om og ha kontroll over hvordan opplysningene om barna blir brukt. Barnehagene og særlig skolene har også ansvar for opplæring som sørger for at barn settes i stand til å forstå og håndtere praktiske utfordringer og viktige samfunnsaspekter. Det bør etter kommisjonens syn også innebære grunnleggende opplæring i personvern i både praktisk og samfunnsfaglig forstand. En grunnleggende forståelse av personvern vil være en forutsetning for å ha en helhetlig forståelse av digitaliseringen nå og i tiden fremover.

I dette kapitlet vil Personvernkommisjonen beskrive hvordan barns personvern ivaretas i skole og barnehage i dag, og peke på hvilke utfordringer som oppstår ved behandling av barns personopplysninger. Kommisjonen vil si noe om hvilke faktorer som bidrar til at personvernet til elever og barnehagebarn er under press, herunder den hurtige digitaliseringen, mangel på kompetanse, etterlevelse av ansvaret for personvern, økt innsamling av personopplysninger og påvirkning fra de store globale aktørene.

8.1.1 Avgrensninger, begreper og definisjoner

Personvernkommisjonen har hovedfokus på problemstillinger knyttet til ivaretakelsen av barns personvern i grunnskolen. Mange av utfordringene i grunnskolen gjør seg imidlertid også gjeldende både i barnehagen og i videregående opplæring. Flere av vurderingene og tiltakene som gjelder grunnskolen vil derfor også ha relevans for behandlingen av personopplysninger i barnehagen og i videregående opplæring.

Personvernkommisjonen skal ifølge mandatet se på skolens bruk av «gratis» applikasjoner der det betales med barns personopplysninger. Applikasjoner forstår kommisjonen som teknologi som brukes i skolen, mer presist som digitale læringsressurser og læringsplattformer. Digitale læringsressurser omfatter verktøy for elevproduksjon, innholdsressurser og digitale læremidler.204 En digital læringsplattform er en arena for å opprette, dele, kommunisere, analysere og administrere innhold for bruk i opplæringen, som eksempel plattformen itsLearning.205

Både digitale læringsressurser og læringsplattformer omtales nedenfor samlet som digitale læringsverktøy. Digitale læringsverktøy omfatter med andre ord alle digitale verktøy som brukes av lærerne og elevene som en del av skolehverdagen. Digitale læringsverktøy kan leveres av både offentlige og private aktører, og det vil variere i hvilken grad verktøyene krever behandling av personopplysninger. Enkelte verktøy vil nødvendigvis behandle store mengder personopplysninger for å kunne levere sin funksjonalitet, mens andre verktøy trenger å behandle få eller ingen personopplysninger for å fungere. I tillegg behandler noen digitale læringsverktøy personopplysninger for andre formål eller utover det som er nødvendig for å levere tjenesten. Dette er særlig problematisk fra et personvernperspektiv. Innenfor kommersiell sektor kalles digitale læringsmidler gjerne «edtech».

Det følger videre av mandatet at Personvernkommisjonen ikke skal «foreslå tiltak som innebærer endringer i læreplanverket Kunnskapsløftet 2020.» Kommisjonen vil av denne grunn ikke gå nærmere inn på spørsmål om endringer i læreplanen.

I 2021 opprettet Kunnskapsdepartementet en ekspertgruppe for digital læringsanalyse. Gruppen består av eksperter innen skole og utdanning, samt fagområder som etikk, teknologi og jus. Ekspertgruppen er nedsatt for å gi Kunnskapsdepartementet bedre grunnlag for beslutninger om digital læringsanalyse og adaptive læremidler, prøver og tester i grunnopplæringen, høyere utdanning og høyere yrkesfaglig utdanning. Ifølge mandatet skal ekspertgruppen, i tillegg til å vurdere pedagogiske spørsmål ved bruk av digital læringsanalyse, også vurdere etiske og juridiske spørsmål og problemstillinger knyttet til personvern.206

Læringsanalyse kan gi den enkelte bedre og mer tilrettelagt undervisning, men storstilt innsamling, lagring og analyse av elevopplysninger kan også medføre personvernutfordringer. Det er blant annet personvernutfordringer knyttet til formålsutglidning, manglende transparens, risiko for ukorrekte personopplysninger i systemet og at elevene endrer atferd (nedkjølingseffekt).

Ekspertgruppen skal ifølge mandatet ha kontakt med Personvernkommisjonen. Kommisjonen har hatt møter med ekspertgruppen for å gjøre avgrensninger der det er sammenfall i mandatene. Ettersom ekspertgruppen skal se nærmere på ivaretakelse av personvernet i systemer for digital læringsanalyse, har Personvernkommisjonen avgrenset sitt mandat fra å gå dypt inn i denne problematikken. Personvernkommisjonen vil likevel kommentere utfordringer ved denne teknologien der det er relevant utover i kapitlet.

8.1.2 Politiske føringer for personvern i skolen og barnehagen

Staten har det overordnede ansvaret for utviklingen av skole- og barnehagesektoren og for å sikre ivaretakelse av elevenes og barnehagebarnas grunnleggende rettigheter. Staten har også det overordnede ansvaret for digitalisering av det offentlige, herunder skolesektoren. Nasjonale myndigheter har imidlertid ikke det juridiske ansvaret for å ivareta personvernet til barn i skole og barnehage. Behandlingsansvaret for elevenes personopplysninger ligger til kommunene.

Statlige myndigheter har likevel mulighet til å påvirke ivaretakelsen av barns personvern i skolen og barnehagen på flere ulike måter. Kunnskapsdepartementet har ansvar for å styre grunnopplæringen. Utdanningsdirektoratet har ansvar for å utvikle læreplaner for skolen og rammeplan for barnehagen. Læreplanene påvirker først og fremst selve innholdet i undervisningen, men også til en viss grad utvelgelse av hvilke digitale verktøy som er egnet til bruk i undervisningen. Utforming av læreplanene påvirker elevenes personvern, da de kan legge føringer for hva barna lærer om personvern i skolen, og hvilke verktøy som brukes i undervisningen og som kan samle inn personopplysninger om barna. Staten har også mulighet til å påvirke ivaretakelsen av elevenes personvern gjennom å sette vilkår rettet mot ivaretakelse av personvern i ulike statlige tilskuddsordninger for utvikling og innkjøp av digitale læringsverktøy.

I 2017 lanserte Kunnskapsdepartementet «Digitaliseringstrategi for grunnopplæringen 2017–2021».207 Strategien har to hovedmål: Elevene skal ha digitale ferdigheter som gjør dem i stand til å oppleve livsmestring og lykkes i videre utdanning, arbeid og samfunnsdeltakelse og IKT skal utnyttes godt i organiseringen og gjennomføringen av opplæringen for å øke elevenes læringsutbytte.

Personvern og informasjonssikkerhet inngår som en av fem hovedprioriteringer i strategien. Skolesektorens arbeid med personvern og informasjonssikkerhet skal være et mål i seg selv, som viktig kunnskap elevene må ha for å kunne være bevisste og kritiske digitale borgere. Personvern og informasjonssikkerhet er også løftet frem som viktige hensyn skolen må ivareta i digitaliseringsarbeidet: «Godt personvern og god informasjonssikkerhet har konsekvenser for både innholdet i læreplanene og for forvaltningen av elevenes og lærernes personopplysninger». Strategien peker på at kompetanse om personvern og informasjonssikkerhet vil bli stadig viktigere når både læremidler og administrative systemer blir mer komplekse.

Digitaliseringsstrategien følges opp og utdypes i Nasjonal handlingsplan for digitalisering i grunnopplæringen 2020 – 2021.208 Handlingsplanen er utarbeidet av Kunnskapsdepartementet med innspill fra blant andre Kommunesektorens organisasjon (KS) og representanter fra kommunesektoren, lærerorganisasjonene, Elevorganisasjonen, IKT-Norge, Forleggerforeningen, Foreldreutvalget for grunnopplæringen (FUG), Sametinget og Nasjonal digital læringsarena (NDLA).

Handlingsplanen for digitalisering i grunnopplæringen trekker frem nødvendige tiltak som bør gjennomføres i skolesektoren i perioden 2020–2021. Tiltakene omfatter å sikre tilgang til digitale ressurser og kompetanse hos lærere og kommuner i bruk av teknologi i skolen. I tillegg er det identifisert en rekke tiltak for å sikre at elevenes personvern er godt ivaretatt når deres personopplysninger behandles i administrative og pedagogiske verktøy. Disse tiltakene går ut på å øke veiledningen om personvern ut mot skolesektoren, samt nedsette en ekstern ekspertgruppe for å utrede pedagogiske, juridiske, teknologiske og etiske problemstillinger knyttet til læringsanalyse og eierskap til elevdata i skolen. Ekspertgrupppen er omtalt i avsnitt 8.1.1.

Det fremgår av tildelingsbrevet til Utdanningsdirektoratet for 2021 at det skal iverksettes følgende tiltak i handlingsplanen, med relevans for personvernet:

• Utrede og utvikle en pilot for en nasjonal tjenestekatalog for digitale læremidler.

• Øke den generelle veiledningen på personvern ut mot sektoren, for eksempel ved å publisere maler og eksempler på utfylling av disse (beste praksis).

• Lage generell veiledning om hvilke krav som bør stilles til leverandører når det gjelder personvern og informasjonssikkerhet.

• Øke veiledningen om personvern på spesifikke områder innen skolesektoren, for eksempel skolemiljø, spesialundervisning og andre områder hvor skolen håndterer sensitive personopplysninger i forbindelse med elevers individuelle rettigheter.

Personvernkommisjonen forstår disse tiltakene slik at departementet ønsker å gi Utdanningsdirektoratet en tydeligere veilederrolle for kommunene på personvernområdet. I tildelingsbrevet til Utdanningsdirektoratet for 2022 skriver Kunnskapsdepartementet at en av de overordnede prioriteringene for 2022 er digital kompetanse og digitalisering, herunder å sørge for bruk av digitale løsninger med godt personvern.209 Tiltakene er videre ment å sette i gang viktige prosesser inn mot ny «Digitaliseringsstrategi for grunnopplæringen» som vil gjelde fra 2022.

Personvernkommisjonen vil særlig trekke frem forslaget om å opprette en nasjonal tjenestekatalog som et viktig initiativ som kan styrke personvernet til elevene i skolen dersom krav til personvern og IKT-sikkerhet legges til grunn som et kriterium for vurdering av tjenesten som skal inn i tjenestekatalogen. Forslaget om en nasjonal tjenestekatalog vil bli nærmere diskutert i avsnitt 8.4.1.

8.1.3 Tillit til skolens behandling av personopplysninger

Datatilsynets personvernundersøkelse fra 2019/2020 viser at tilliten til hvordan skoler og barnehager ivaretar barnas personvern er relativt lav, vesentlig lavere enn til andre offentlige etater. Bare 56 % svarer at de har tillit til hvordan skoler og barnehager oppbevarer og bruker personopplysninger.210 Med tanke på hvor sensitive opplysninger skolen har ansvar for, er det god grunn til å rette særlig oppmerksomhet mot hvordan personvernet til barn i skolen og barnehagen ivaretas.

I løpet av de siste årene har en rekke skoleeiere mottatt gebyrer fra Datatilsynet for brudd på personopplysningsloven. Siden 2019 har norske skoleeiere fått gebyrer i millionklassen for brudd på personopplysningssikkerhet i mobilapplikasjonen Skolemelding,211 i administrative systemer212 og systemer for kommunikasjon mellom skole og hjem.213 Mindre gebyrer har blitt utstedt for å behandle helseopplysninger om barn i læringsplattformen Showbie,214 og i 2021 ble det ilagt et gebyr på 50 000 kr for bruk av treningsapplikasjonen Strava i undervisningen uten at det var gjennomført en personvernkonsekvensvurdering.215 I 2020 fikk tre kommuner varsel om irettesettelse fra Datatilsynet for deres bruk av Googles løsninger i skolen.216

Det har vært mye medieoppmerksomhet rundt disse sakene, som antageligvis har bidratt til å øke oppmerksomheten på personvern i skolen og i kommunene rundt om i landet. Oppmerksomheten kan også ha vært utslagsgivende for at tilliten til skolers behandling av personopplysninger er relativt lav.

Datatilsynet har i Personvernundersøkelsen 2019/2020 pekt på at norske kommuner «har en jobb å gjøre når det gjelder å sikre at barns personvern blir ivaretatt i skolen». Skolesektoren har de siste årene rapportert et økende antall brudd på personopplysningssikkerheten til Datatilsynet.217 En fellesnevner for disse sakene er at det er gjort mangelfulle risikovurderinger og at løsningene ikke er blitt tilstrekkelig testet, før de implementeres og tas i bruk. I etterkant av en rundebordskonferanse i februar 2021 uttrykte likevel Datatilsynet at det er tatt mange gode initiativer, og at personvern i skolen tas på mye større alvor nå enn for bare noen år siden.218

Kommunesektorens organisasjon (KS) har gitt innspill til Personvernkommisjonen om at de er svært bekymret for situasjonen for personvernet i norsk skole. Personvernkommisjonen deler denne bekymringen og stiller spørsmål om hvilken pris det har hatt for elevenes personvern at den digitale utviklingen i skolen har gått så raskt, uten at det har vært gjort tilstrekkelige vurderinger eller tiltak for å sikre personvernet.

8.2 Digitale løsninger i skolen

Det kommunale selvstyret står sterkt i Norge. I skolesektoren innebærer det at avtaler om hvilke digitale løsninger som tas i bruk for læring, kommunikasjon og elevvurdering, i stor grad forhandles frem i hver enkelt kommune.

Skole- og barnehageledelsen har ansvaret for oppfølging av lære- og rammeplan, og spesifiserer dermed hvilke behov for digitale læringsverktøy de har i oppgaveløsningen. Det er skole- og barnehageeier (kommunen) som gjør innkjøp av digitale læringsverktøy og som har behandlingsansvaret. Det er også kommunen som vurderer hvilke opplysninger som skal behandles og hvordan opplysninger skal lagres. Det er store forskjeller mellom skolene og barnehagene, både når det gjelder hvilke løsninger som velges og hvordan disse tas i bruk.

Forstørr bilde

8.2.1 Hvilke applikasjoner blir elevene registrert i?

Kommunesektorens organisasjon (KS) har, på oppdrag fra Personvernkommisjonen, laget en rapport med oversikt over hvilke systemer og løsninger som lagrer personopplysninger om elevene.219

Disse systemene og løsningene kan deles inn i følgende hovedkategorier: administrative verktøy, applikasjoner og programvare og plattformer, som illustrert nedenfor.

8.2.1.1 Administrative verktøy

Administrative verktøy omfatter skoleadministrative systemer, kommunikasjonsløsninger for eksterne, evalueringssystemer og tekniske støtteverktøy.

Skoleadministrative systemer er tekniske løsninger for å ivareta forskjellige administrative prosesser knyttet til både lærere, elever og foresatte. De største leverandørene av skoleadministrative systemer i Norge er Visma, Vigilo, TietoEvry Education og IST. Slike systemer samler inn et bredt spekter av personopplysninger knyttet til elevens skolegang, inkludert sensitive personopplysninger. Opplysninger kan samles inn av leverandørene, tredjeparter (for eksempel skylagringsleverandører) og kommuneadministrasjonen. Opplysningene samles blant annet inn fra folkeregisteret, sak- og arkivløsninger i kommunene, fra elevene og deres foresatte, samt fra lærerne.

Kommunikasjonsløsninger for eksterne er i hovedsak digitale verktøy for kommunikasjon mellom skole og foresatte. Typiske eksempler på slike kommunikasjonsløsninger er Visma, Vigilo, IST, TietoEvry Education, Zoom, Microsoft Teams, Google Workspace, itsLearning, Canvas, Fronter og Showbie. Ifølge KS anvendes sosiale medier som Facebook også i kommunikasjon mellom skole og foresatte, men dette er som regel ikke autorisert eller initiert av skoleeier.

Formalisert kommunikasjon mellom skole og foresatte foregår som regel gjennom skolens skoleadministrative system, og informasjonen som formidles der avhenger typisk av elevens alder. Informasjonen som formidles til foresatte gjennom slike systemer kan inkludere fravær, orden og oppførsel, samt karakterer og undervisningsvurderinger. Slik informasjon kan også kommuniseres gjennom skolens LMS (Learning Management System) som for eksempel itsLearning, Canvas og Fronter. I slike kommunikasjonsløsninger samles det som regel inn opplysninger om elevens oppførsel og fravær, samt karakterer og vurderinger av elevens prestasjoner. Opplysningene samles inn av leverandørene av kommunikasjonsløsningen, og innhentes fra elever og deres foresatte, lærerne og skoleadministrasjonen.

Under pandemien har andre kommunikasjonsverktøy og produksjonsverktøy som Zoom, Microsoft Teams og Google Workspace blitt tatt i bruk for kommunikasjon mellom skole og foresatte, for eksempel i foreldremøter og utviklingssamtaler. KS erfarer også at det er en utstrakt bruk av sosiale medier for kommunikasjon mellom foresatte og skoleansatte. Slik bruk er som regel ikke forvaltet og organisert av skoleeier eller skoleleder. Det vil variere i stor grad hvilke personopplysninger som samles inn av slike plattformer, men det kan inkludere elevopplysninger, samt et vidt spekter andre opplysninger ved bruk av plattformer som Facebook og Google.

Evalueringssystemer er digitale løsninger som brukes for å evaluere elever, for eksempel for karaktersetting, tilpasset læring og elevundersøkelser. Slike systemer inkluderer for eksempel itsLearning, Canvas og Showbie, men løsninger som Microsoft 365 og Google Workspace anvendes også. Evalueringssystemer samler inn opplysninger om blant annet elevenes fravær, orden og oppførsel. Personopplysningene samles inn av løsningsleverandørene, skoleadministrasjonen og kommuneadministrasjonen, og hentes fra elevene og lærerne.

Under evalueringssystemer inngår også systemer for tilpasset læring, såkalte adaptive læringsmidler. Adaptive læringsmidler er en betegnelse på systemer for læringsanalyse, som samler inn og analyserer elevenes arbeid, resultater og behov. Formålet er å kartlegge og tilpasse læringsoppgaver og undervisning til elevenes kunnskapsnivå og prestasjoner, samt å identifisere elever som står i fare for å havne på etterskudd eller utenfor, slik at forebyggende tiltak kan iverksettes på et tidlig tidspunkt. Det kan innebære tilpasning på individnivå for den enkelte elev, eller på klasse-, skole-, eller skoleområdenivå.

Som med andre digitale analysesystemer, forutsetter bruken av adaptive læringsmidler som regel behandling av store mengder personopplysninger knyttet til enkeltelevers prestasjoner. Personvernkonsekvensene ved bruk av slike verktøy behandles av ekspertgruppen for digital læringsanalyse, og Personvernkommisjonen vil følgelig ikke gjøre en dybdevurdering av dette.220

8.2.1.2 Applikasjoner og programvare

Applikasjoner og programvare er tredjeparts læringsprogrammer som lastes ned på elevenes nettbrett eller PC for bruk i undervisningen. Slike programmer kan inkludere applikasjoner til bruk i matematikk, skrive- og leseundervisning, og kreative applikasjoner som brukes til innholdsproduksjon. Eksempler på slike programmer er Book Creator, Explain Everything, iMovie, Garageband, Dragonbox, Kahoot og Kidspiration. Andre tredjeparts programmer som anvendes i skolen inkluderer blant annet Microsoft 365, Google og Showbie.

Det vil i stor grad variere hvilke personopplysninger slike løsninger samler inn og hvordan personopplysningene viderebehandles, både utfra funksjonalitet og hensikten til applikasjonene, og forretningsmodellen til leverandøren. Dersom leverandøren har en forretningsmodell basert på innsamling og salg av personopplysninger, kan det være snakk om behandling av store mengder personopplysninger utover det som er nødvendig for å levere tjenesten og som kan deles med mange tredjeparter. Som beskrevet i kapittel 9 om forbrukernes personvern, kan slike applikasjoner inneholde sporingsteknologi som samler inn alt fra lokasjon og identifikatorer til interesser og historikk.

8.2.1.3 Plattformer

I sin rapport beskriver KS plattformer som både systemløsninger som for eksempel Google og Microsofts læringsløsninger, og hardware som Apple iPad eller Google Chromebook. Systemløsningene inkluderer operativsystemer og lagringsløsninger, samt verktøy for innholdsproduksjon og kommunikasjon. Eksempler på systemløsninger er kommunikasjonsplattformer som Gmail og Microsoft Teams, innholdsproduksjonsplattformer som Microsoft Word/PowerPoint og Google Docs, og nettnavigasjonsverktøy som Google Chrome, Safari og YouTube. I tillegg brukes Apples programvarepakker som leveres med iOS-operativsystemet, som blant annet inkluderer iMovie, Garageband, Keynote, Pages og Numbers.

Det er per i dag ikke noen tilgjengelige tall på den konkrete utbredelsen av forskjellige hardwareløsninger i norske skoler, men KS anslår at de største leverandørene er Apple (iPad), Google (Chromebook), samt Microsoft (Windows PC). Noen kommuner har valgt å anskaffe kun én type plattformløsning til elevene, mens andre tar i bruk flere forskjellige. Ifølge tall fra Grunnskolens informasjonssystem (GSI)221 for skoleåret 2020/2021, har blant landets 634 674 elever i grunnskolen 27 % egen bærbar PC eller Mac, 21 % har egen Chromebook, 40 % har nettbrett (iPad eller annet), mens 11 % har ikke tilgang til egen digital enhet.222

Plattformer kan samle inn store mengder personopplysninger, både gjennom selve maskinene (hardware) og ved forhåndsinstallerte programvareløsninger. I tillegg kan operativsystemene samle inn personopplysninger og annen brukerinformasjon på tvers av tjenester på enhetene. Opplysningene samles typisk inn av leverandørene, som Google, Microsoft og Apple.

8.2.2 Prosess for anskaffelse av digitale løsninger i skolen

KS beskriver i rapporten utarbeidet for Personvernkommisjonen følgende prosess for hvordan digitale verktøy og løsninger anskaffes i skolen223: Systemer og applikasjoner som brukes av alle skoler i en kommune, for eksempel et fagsystem, anskaffes gjerne med en «kommune-lisens». Dette innebærer ofte lengre anskaffelsesprosesser, og systemene vurderes ut fra kravspesifikasjoner. Enkelte kommuner anskaffer slike systemer gjennom regionale samarbeid og IKT-samarbeid.

Ved anskaffelse av enklere digitale læremidler og applikasjoner til bruk ved den enkelte skole, foregår anskaffelsen som regel gjennom drøftinger og vurderinger på trinnledermøter internt ved skolen, eller på ledermøter hvor alle skolene i kommunen er representert. I enkelte kommuner involverer dette innspillsrunder via faggrupper, mens endelig godkjenning og prioriteringer skjer på enhetsledernivå (for eksempel rektor) med delegert myndighet fra kommunedirektøren.

I rapporten beskriver KS bestillingsrutinene i kommunene som relativt like på flere punkter: I forbindelse med en anskaffelse gjøres det en pedagogisk vurdering av hvordan læremidlet kan hjelpe skolen/klassen/eleven i læringsarbeidet. Etter å ha gjennomført innspillsrunder med skolene og/eller lærerne, beslutter skoleeier anskaffelse av applikasjonen eller læremidlet på skoleeiernivå.

Som en del av bestillingsrutinen gjøres det en vurdering av hvordan personvernet ivaretas i applikasjonen, og flere kommuner stiller krav om at risiko- og sårbarhetsvurdering (ROS) og eventuelt en vurdering av personvernkonsekvenser (DPIA), gjennomføres før anskaffelsen. Likevel melder KS om at flere kommuner påpeker at manglende ressurser og kapasitet gjør at slike vurderinger trekker ut i tid, til etter at anskaffelsen er gjennomført.

Ved anskaffelser av applikasjoner vektlegger kommunene som regel krav om å oppfylle lovpålagte forpliktelser, for eksempel tilknyttet krav i opplæringslov og læreplaner, eller elevadministrative oppgaver. For skolene er det som oftest pedagogiske og didaktiske begrunnelser som vektes tyngst. Viktige faktorer for skolene inkluderer faglig nytteverdi, kvalitet, brukervennlighet, sikkerhet, pris, og erfaringer fra andre som har brukt applikasjonen. Kravene som stilles i personvernregelverket blir sjeldent sett på av skolen eller lærerne, og personvernvurderinger blir således en del av «siste skanse» før endelig anskaffelsesbeslutning tas.

8.3 Rettslige rammer for behandling av opplysninger i skole og barnehage

Skolens og barnehagens oppgaver følger av barnehageloven, opplæringsloven og privatskoleloven (tidligere friskolelova), som setter rammer for hvilke og hvordan personopplysninger kan behandles. I tillegg regulerer personvernforordningen behandling av barns personopplysninger, også i skole og barnehage. Barnehage- og opplæringsloven supplerer forordningen på de områdene der det etter forordningen er gitt adgang til nasjonal regulering, se nærmere kapittel 10 om nasjonalt handlingsrom.

Det rettslige grunnlaget for behandling av barns og unges personopplysninger i skole og barnehage er i hovedsak at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse,224 eller at behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.225 Behandling av «særlige kategorier av personopplysninger» skjer som oftest i henhold til forordningens artikkel 9 nr. 2 bokstav g. Opplæringslova, privatskoleloven og barnehageloven gir supplerende regler.

Den første august 2021 ble barnehageloven,226 opplæringslova227 og daværende friskolelova228 endret, for å gi hjemmel til behandling av personopplysninger og gjennomføring av opplæring gjennom fjernundervisning.229 Disse lovene er teknologinøytrale, det vil si at de ikke gir føringer på hvilken teknologi barnehage og skole skal bruke for å løse de angitte oppgavene. Lovene angir hvilke plikter kommune og den enkelte skole og barnehage har, og presiserer barnehagebarnas, elevenes og foreldrenes rettigheter.

Lovendringene innfører generelle bestemmelser om behandling av personopplysninger. Utformingen er tilnærmet lik i alle de tre ovennevnte lovene. Etter de respektive lovene kan det behandles personopplysninger, inkludert særlige kategorier av personopplysninger og opplysninger om straffedommer og lovovertredelser, «når det er nødvendig for å utføre oppgaver etter loven». Med «oppgaver» menes både plikter og oppgaver som kommunene er pålagt i og med hjemmel i lov, som er særlig regulert i de ovennevnte lovene.230 For en nærmere gjennomgang viser Personvernkommisjonen til Prop. 145 L (2020–2021) Endringar i opplæringslova, friskulelova og barnehagelova (behandling av personopplysningar, fjernundervisning o.a.).231

I personvernregelverket vurderes barn som en spesielt sårbar gruppe. Dette innebærer at barns personopplysninger er opplysninger om sårbare personer. I tillegg har ikke barn mulighet til å velge om de skal gå i barnehage eller på skole. Barna og deres foreldre er avhengige av at de ansvarlige både behandler data og ivaretar deres personvern ved gjennomføring av lovpålagte oppgaver. Siden barn i liten grad kan sette premissene for hvordan deres personopplysninger behandles, er de gitt særskilt beskyttelse i personvernregelverket. Dette betyr at behandlingsansvarlige også må gjøre særskilte vurderinger når de behandler opplysninger om barn. Disse vurderingene bør også dokumenteres.

8.3.1 Ansvarsplassering

Kommunen er skole- og barnehageeier, med unntak av privateide skoler og barnehager. Kommunen har ansvar for grunnskoleopplæring for alle som er bosatt i kommunen.232 I tillegg har kommunen ansvaret for organisering og drift av skolen, herunder økonomisk ansvar, innenfor nasjonale føringer som blant annet lov, forskrift og læreplanverk.233

Kommunen anses som behandlingsansvarlig etter personvernforordningen og e-forvaltningsforskriften,234 og har ansvaret for at personopplysningene til elever og barnehagebarn blir behandlet i tråd med forordningen.

Flere barnehager og skoler er privateide. Når det gjelder disse barnehagene og skolene, vil skolen eller barnehagen (den juridiske personen)være behandlingsansvarlig etter personvernforordningen for den behandling av personopplysninger som skjer i driften av virksomheten. Behandlingsansvaret i forbindelse med opptak og tildeling av skole- eller barnehageplass ligger hos kommunen.

Det er kommunen som har ansvaret for elevenes læremidler, blant annet å anskaffe digitalt utstyr.

Som behandlingsansvarlig er det kommunens ansvar at verktøy som anskaffes og benyttes i skole og barnehage, oppfyller personvernforordningens regler om personvern og informasjonssikkerhet. Herunder ligger en forpliktelse til å gjøre risikoanalyser og vurdere personvernkonsekvenser av verktøy som kjøpes inn. Kommunen skal ha oversikt over hvilke personopplysninger som behandles i løsningene, og sikre at ikke opplysningene viderebehandles til nye og uforenelige formål.

Kommunen har ansvaret for at skolen har nettverk, servere og systemer av god nok kvalitet og kapasitet slik at disse støtter opp under både nasjonale og lokale mål for opplæringen, og at elevenes personvern er sikret. Ansvaret ligger hos kommunen, uavhengig av om skolene står for innkjøpene eller om elevene har mulighet til å koble sine egne enheter til skolens nettverk og tjenester.

Kommunen er også ansvarlig for å sikre at barnehagene, skolene og deres ansatte har tilstrekkelig kompetanse til å ivareta elevenes personvern og å sikre «kompetansen som trengs for å undervise og inkludere digitale tema og ressurser i opplæringen».235

Kommunen har ansvaret for å ivareta barnas informasjonssikkerhet og personvern når personopplysninger behandles i skolesammenheng. Foreldrene har på sin side ansvar for å ivareta barnas beste, herunder barnas personvern i forbindelse med bruk av digitale enheter utenfor skolen og barnehagen.236

Med den økende bruken av digitale læringsverktøy og innlevering av oppgaver og lekser på nett, er likevel skillet mellom skole og fritid mindre skarpt. Barna får tildelt egne nettbrett i undervisning, på samme måte som ansatte får tildelt utstyr fra sine arbeidsgivere. Utfordringer knyttet til dette diskuteres nærmere i avsnitt 8.4.2.

8.3.1.1 Tilsyn i skolesektoren

Utdanningsdirektoratet, statsforvalterne og kommunene kontrollerer om barnehager og skoler følger regelverket ved å gjennomføre tilsyn. Videre fører statsforvalterne tilsyn med offentlige skoler237 og departementet fører tilsyn med friskoler og private skoler.238 I tillegg til dette er det kommunen som gjennomfører tilsyn med både kommunale og private barnehager.239 Det er statsforvalteren som fører tilsyn med kommunene som skole- og barnehageeier.240

Tilsynene gjennomføres for å kontrollere etterlevelse av opplæringsloven, friskoleloven, barnehageloven og kommuneloven. Hvordan kommunen, skolen eller barnehagen behandler personopplysninger i henhold til personvernregelverket er ikke en del av dette tilsynet, da det faller under Datatilsynets mandat. Datatilsynets tilsynsrolle diskuteres nærmere i kapittel 13.

8.3.2 Barnehageloven og opplæringslova

Barnehageloven regulerer barnehageeier og den enkelte barnehages oppgaver. Lovens kapittel 1 og forskrift om rammeplan for barnehager241 regulerer overordnet formål i loven og barnehagehverdagens innhold og gir dermed rammene for behandling av personopplysninger i barnehagen.242 I tillegg gir barnehageloven rettslig grunnlag for behandling av personopplysninger for administrative formål som hører til drift av barnehagene, eksempelvis tildeling av barnehageplass og samarbeid mellom barnehage og foreldre, og andre etater.243

Barnehageloven regulerer også mer spesifikt deling av personopplysninger med andre virksomheter. Utgangspunktet er taushetsplikt i henhold til forvaltningsloven.244 Barnehageloven hjemler når barnehagen har opplysningsplikt til sosial- og helsetjeneste og barnevernet.245 Videre reguleres deling av personopplysninger mellom barnehagen og skolen i sammenheng med barnets overgang fra barnehage til skole. Deling etter loven kan kun skje med foreldres samtykke.246 Barnehageloven § 47a annet ledd regulerer barnehagenes muligheter for å dele personopplysninger med ny barnehage dersom barnet skal bytte barnehage. Også her forutsettes at foreldrene samtykker.

Opplæringslova regulerer skoleeier og den enkelte skole sine oppgaver i grunnopplæringen, og gjelder grunnskolen, videregående skole og voksenopplæring. Kapittel 1 i loven angir det overordnede formålet med opplæringen. Dette utgjør rammene for hvilke formål behandlingen av personopplysninger skal skje innenfor ved opplæringen. I tillegg er opplæringslova rettslig grunnlag for de administrative oppgavene som må gjennomføres for å oppfylle kravene i loven, som eksempelvis overgang mellom ulike skoler, sikre oppfølging barna har rett på og generelle administrative oppgaver for drift av skolen.

Opplæringslova regulerer også spesifikt deling av personopplysninger. På samme måte som etter barnehageloven reguleres taushetsplikten i opplæringslova med henvisning til forvaltningsloven.247 Opplæringslova gir regler for når skolene kan dele personopplysninger til barnevernet, sosial- og helsetjenesten.248 Lovens § 15-10 annet ledd regulerer skolenes mulighet til å dele personopplysninger med ny skole, ved skolebytte generelt, og ved overgangen fra grunnskole til videregående skole. Delingen av personopplysninger ved skolebytte er ytterligere regulert i forskrift til loven.

8.3.3 Bruk av samtykke

Som nevnt i kapittel 4 må det foreligge rettslig grunnlag for behandling av personopplysninger. Utover det rettslige grunnlaget som nevnt i avsnitt 4.2.7, det vil si at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse eller for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet, kan behandling av personopplysninger på visse vilkår baseres på samtykke. Et samtykke kan kun benyttes som behandlingsgrunnlag dersom det er gitt frivillig.

Et samtykke ansees ikke som frivillig dersom balanseforholdet mellom den registrerte og den behandlingsansvarlige er skjevt. Dersom skjevheten er klar nok, vil det være lite sannsynlig at et samtykke blir «frivillig» avgitt.249 Personvernforordningen gir ikke eksplisitt uttrykk for hvilket forhold som må foreligge mellom partene for at en skjevhet kan påvirke et samtykke, men Personvernrådet viser særlig til tilfeller hvor det foreligger en klar ubalanse i maktforholdet mellom partene.250 Dette vil blant annet være tilfelle der den behandlingsansvarlige er en offentlig myndighet eller i forholdet mellom arbeidsgiver og arbeidstaker.251 Samtykke er derfor mindre egnet som behandlingsgrunnlag for behandling av personopplysninger ved utøving av offentlig myndighet.

For enkelte typer behandlinger i barnehage og skole, vil samtykke likevel være egnet som behandlingsgrunnlag, ifølge forarbeidene til barnehageloven og opplæring- og friskolelova. I forarbeidene nevnes for eksempel at samtykke vil kunne være egnet «ved fotografering av barn/elevar til bruk i skulekatalogar eller ved bruk av ulike appar som fungerer som kommunikasjonsplattform mellom barnehagen/skulen og heimen».252 Dersom samtykke skal kunne brukes i slike tilfeller, må det sikres at vilkårene for samtykket er oppfylt, det vil si at det er frivillig, informert og utvetydig.253 Dette betyr at det er avgjørende at skolen eller barnehagen gir tilstrekkelig informasjon om hvilke personopplysninger som skal behandles og hvordan, på en måte som er forståelig for barnet og/eller den foresatte. For at samtykket skal være frivillig, skal det ikke føre til negative konsekvenser dersom man ikke samtykker, for eksempel må ikke manglende samtykke føre til dårligere tjenester eller negativt sosialt press. Styrkeforholdet mellom partene må også tas inn i vurderingen.

8.4 Personvernutfordringer i skole og barnehage i dag

Personvernkommisjonen mener at digitalisering av norsk skole og barnehage har skjedd svært raskt, uten at roller og ansvar for personvernarbeidet, eller konsekvenser for barns personvern er drøftet i tilfredsstillende grad. Ivaretagelse av personvern krever betydelig kompetanse og forståelse for ofte vanskelige juridiske og teknologiske problemstillinger, samt kontinuerlig oppfølging.

I det følgende vil Personvernkommisjonen trekke frem de mest sentrale utfordringene knyttet til ivaretakelse av elevers og barns personvern i skolen og barnehagen. Utfordringene henger sammen og er til dels overlappende. Hovedutfordringen er, slik Personvernkommisjonen ser det, at kommunene i svært varierende grad har ressurser og kompetanse til å ivareta ansvaret de har etter personvernforordningen for elevenes personvern. Sentrale føringer og veiledning i hvordan elevenes personvern skal ivaretas på best mulig måte, kunne bidratt til å avhjelpe situasjonen kommunene står i. Slike sentrale føringer mangler i dag.

Mangel på tilstrekkelige sentrale føringer, i kombinasjon med varierende grad av kompetanse og ressurser ute i kommunene, medfører også en risiko for at tjenesteleverandører kan legge premissene for hvordan elevenes personvern ivaretas i skolen.

8.4.1 Nasjonale føringer

Fra innspillsrunder med aktører i skolesektoren, har Personvernkommisjonen fått inntrykk av at det råder usikkerhet om nøyaktig hvilke forpliktelser og oppgaver som påhviler statlige myndigheter og hvilke som påhviler kommunene og den enkelte skole, ved innkjøp og bruk av digitale verktøy. Kommisjonen erfarer at aktører i skolesektoren opplever at det er uklart hva behandlingsansvaret innebærer og at ivaretakelse av elevenes personvern mangler en helhetlig og omforent tilnærming.

Representanter fra flere kommuner har spilt inn til Personvernkommisjonen at de ønsker mer sentral styring på personvernarbeidet i skole- og barnehagesektoren. Kommisjonen har inntrykk av at kommunene ønsker seg, og har behov for, mer praktisk rettet veiledning fra nasjonale myndigheter. Leverandører av digitale skole- og barnehagetjenester har også gitt uttrykk for at de ønsker mer konkret veiledning fra nasjonale myndigheter om hvilke krav som stilles til leverandørene.

Nasjonal handlingsplan for digitalisering i grunnopplæringen, omtalt i avsnitt 8.1.2, inneholder en rekke tiltak for å bedre veiledningen om personvern ut mot skolesektoren.254 I handlingsplanen nevnes det at videreutvikling av Feide er et viktig tiltak, blant annet for å styrke personvernet. Videre i handlingsplanen foreslås det å utvikle en nasjonal tjenestekatalog for digitale læremidler, for å gi bedre oversikt over hvilke ressurser som finnes, og gi lærerne bedre muligheter til å vurdere styrker og kvaliteter ved disse.

Ifølge tildelingsbrevet for 2021 skal Utdanningsdirektoratet lage veiledning for hvilke krav som bør stilles til leverandører når det gjelder informasjonssikkerhet og personvern. I februar 2022 lanserte Utdanningsdirektoratet en kompetansepakke om personvern i barnehagen – for barnehageeiere, styrere og de som jobber i barnehagen. Utdanningsdirektoratet arbeider også med en kompetansepakke for å øke skoleeiers, skoleledelsens og læreres kompetanse på personvern, som etter det Personvernkommisjonen er kjent med, skal være klar mot slutten av 2022.

Personvernkommisjonen mener tiltakene i den nasjonale handlingsplanen er gode og at de potensielt vil kunne møte noe av informasjons- og veiledningsbehovet som finnes ute i kommunene. Det er imidlertid Personvernkommisjonens vurdering at selv om flere av tiltakene er positive, så mangler det en tilstrekkelig helhetlig og tydelig styring med hvordan personvernet ivaretas i norske skoler og barnehager.

Det finnes flere måter å innrette den nasjonale styringen på. Den nasjonale styringen kan skje gjennom å etablere en personvernpolitikk for skole- og barnehagesektoren, men også gjennom normarbeid og sentraliserte ordninger som den allerede foreslåtte etablering av en tjenestekatalog for digitale læringsmidler.

8.4.1.1 Personvernpolitikk i skole- og barnehagesektoren

Personvernkommisjonen mener det må etableres en helhetlig og offensiv statlig personvernpolitikk i skole- og barnehagesektoren. Per i dag er slik politikk nærmest ikke-eksisterende. Skole og barnehage er der barn og unge læres opp, og det er avgjørende at det offentlige går foran med gode eksempler hva angår grunnleggende verdier som personvern. Personvernkommisjonen mener at den nasjonale personvernpolitikken for barnehage og skole må:

• sette kommuner, skoler og barnehager i stand til å bruke digitale tjenester og læringsverktøy på en måte som ivaretar barns og unges personvern.

• sørge for at både barns rett til utdanning og rett til vern av personopplysninger ivaretas, samtidig som kommunalt selvstyre og metodefrihet i skolen og barnehagen bevares.

• stille tydelige krav til kvaliteten på de digitale tjenestene også hva angår personvern. Det er et lovkrav at personvern alltid vurderes og vektlegges ved innføring av nye læringsmidler. Politikken må sørge for at lovkravet følges opp i praksis.

• inneholde og konkretisere krav til at leverandører av tjenester til skole- og barnehagesektoren ikke kan benytte forretningsmodeller som profitterer kommersielt på barns personopplysninger. I praksis betyr dette at det ikke er akseptabelt å benytte leverandører som forbeholder seg retten til å bruke barn og unges data til kommersielle formål, spesielt markedsføringsaktiviteter.

• fange opp tiltak som kommer frem i arbeidet til Ekspertutvalget som er nedsatt for å se på personvernutfordringer knyttet til bruk av læringsanalyse.

8.4.1.2 Nasjonal tjenestekatalog

Kunnskapsdepartementet har gitt Utdanningsdirektoratet i oppdrag å utrede en pilot for en nasjonal tjenestekatalog for digitale læringsmidler.

Utdanningsdirektoratet har startet utredningsarbeidet og i dette arbeidet inngår det å kartlegge hvilken funksjonalitet tjenestekatalogen skal inneholde, utover å gi en samlet oversikt over digitale læringsmidler. Utdanningsdirektoratet oppgir at slik funksjonalitet for eksempel kan være at en kommune kan legge inn informasjon om hvilke læremidler i katalogen som kommunen har kjøpt, har inngått databehandleravtale med og har gjennomført risiko- og sårbarhetsanalyse og personvernkonsekvensvurderinger av. Personvernkommisjonen ser dette som en positiv utvikling, da tjenester som tilbys gjennom det offentlige bør ha undergått en viss kvalitetssikring, også av personvern.

Personvernkommisjonen mener behovet for en nasjonal tjenestekatalog er stort. En tjenestekatalog kan være et viktig initiativ for i praksis å sørge for at skoleeiere kan velge tjenester som ikke bare er funksjonelle, men som også ivaretar personvern på en tilfredsstillende måte. Det må sikres at tjenestekatalogen stiller klare og etterprøvbare krav til personvern og informasjonssikkerhet.255 Tjenestekatalogen bør gi oversikt over læremidler der det er gjennomført risiko- og sårbarhetsanalyse og personvernkonsekvensvurderinger. En velfungerende tjenestekatalog forutsetter kontinuerlige endringer og oppdateringer, da digitale tjenester kan endres fortløpende. Vurderinger fra det nasjonale test- og kompetansemiljøet, som beskrevet i avsnitt 8.4.2, kan inngå i katalogen.

Med tanke på kommunalt selvstyre må det ikke være obligatorisk å benytte læremidler i tjenestekatalogen.256Personvernkommisjonen understreker at skoleeier i alle tilfeller vil være behandlingsansvarlig og må gjøre egne personvernkonsekvensvurderinger, uavhengig av om en tjeneste inngår i tjenestekatalogen.

8.4.1.3 Personvernnorm for skolesektoren

Det er etter hvert etablert flere bransjenormer for informasjonssikkerhet og personvern innenfor ulike sektorer i Norge. Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen) er Norges første og største bransjenorm som gjelder for de aller fleste virksomhetene i helse- og omsorgssektoren.257 Formålet med Normen er å sikre at opplysninger behandles på en slik måte at helse- og omsorgstjenester kan tilbys på en forsvarlig måte og samtidig ivaretar innbyggernes tillit til sektoren. Ifølge Styringsgruppen til Normen er den særlig viktig fordi den:258259

• Gjør det enklere å få på plass nødvendige sikkerhets- og personverntiltak

• Bidrar til økt tillit til at sektoren behandler helse- og personopplysninger på en trygg måte

• Bidrar til et harmonisert sikkerhetsnivå i sektoren

• Bidrar til at sektoren har et godt kravstillingsverktøy til informasjonssikkerhet og personvern ved anskaffelser

I barnehage- og skolesektoren behandles det, i likhet med i helsesektoren, store mengder opplysninger. Skolesektoren er videre i likhet med helsesektoren gjenstand for rask digitalisering og den består av aktører med ulik størrelse og med ulik tilgang på ressurser og kompetanse på personvernområdet. I helse- og omsorgssektoren har Normen vært viktig for å få økt oppmerksomhet og ledelsesforankring på personvern. Som trukket frem av styringsgruppen til Normen, er Normen viktig fordi den gjør det enklere å få på plass nødvendige og harmoniserte tiltak. Skolesektoren har mange av de samme utfordringene og behovene som helsesektoren, og Personvernkommisjonen mener at etablering av en personvernnorm i skolesektoren, på samme måte som i helsesektoren, kan bidra til å øke oppmerksomheten og ledelsesforankringen på arbeidet med personvern.

Personvernkommisjonen mener statlige myndigheter må ta initiativ til å utarbeide en personvernnorm for skole- og barnehagesektoren. En personvernnorm kan bidra til å sette kommunene bedre i stand til å ivareta behandlingsansvaret sitt og sikre en mer helhetlig og omforent ivaretakelse av barns personvern i barnehagen og grunnskolen. En norm kan også bidra til å forenkle kommunenes anskaffelsesprosesser ved å oppstille krav som leverandørene må etterleve og vil være kjent med.

8.4.2 Kompetanse og ressurser

Kommunene har som behandlingsansvarlig plikt til å skaffe den kompetansen som er nødvendig for å etterleve personvernregelverket. I praksis viser dette seg å være vanskelig for mange kommuner. Det er stor variasjon mellom kommunene når det gjelder tilgang til personvernkompetanse. Små kommuner har ofte få eller ingen dedikerte personvernressurser, mens større kommuner kan ha egne personvernteam med flere ansatte. Alle kommuner skal ha et personvernombud, men også her er det store variasjoner i hvordan kommunene har løst organiseringen av denne funksjonen. Datatilsynets personvernombudundersøkelse viser at mange kommuner har personvernombud ansatt på deltid eller at de deler personvernombud med flere andre kommuner. Mange personvernombud i kommunene er alene om å håndtere personvernspørsmål og har ikke andre personvernressurser eller teknologikompetanse i kommunen å støtte seg på.260

Uavhengig av størrelsen på kommunen, har kommunene de samme forpliktelsene til blant annet å gjennomføre risikovurderinger og testing av nye læringsmidler før de kjøpes inn. Manglende tilgang på kompetanse gjør det krevende å følge opp disse forpliktelsene. Gjennomføring av blant annet risikovurderinger er tidkrevende og krever god kompetanse både på juridiske og tekniske forhold.

I praksis har Personvernkommisjonen sett at manglende kompetanse får uheldige utslag, for eksempel ved at det mangler retningslinjer for innføring og bruk av apper og hjelpemidler som samler personopplysninger i omfattende grad. Derimot foreligger for eksempel retningslinjer som forhindrer deling av klasselister fordi kommuner og skoler er bekymret for å bryte personvernregelverket. Dette på tross av at Datatilsynet har vurdert at klasselister kan deles, fordi det er viktig for at elever skal kunne møtes, og at alle blir invitert til tilstelninger som bursdager. Forutsetningen er at det er rutiner på plass for å fjerne opplysninger om hemmelig kontaktinformasjon.

I Bouvets rapport «Digitalisering i skolen. Har vi glemt personvernet?», fremkommer det fra intervjuer med aktører i skolen at det å gjennomføre en ROS-analyse av en læringsressurs tar minst fem timer og at to personer bør involveres.261 Med tanke på alle de ulike fagene i skolen som krever ulike læringsmidler, fordelt over klassetrinn med ulikt læringsbehov, blir det en svært arbeidskrevende jobb å risikovurdere alle løsningene som ønskes innført. Intervjuobjektene i Bouvets rapport gir tydelig tilbakemelding på at de verken har kapasitet eller kompetanse til å håndtere mengden av alle vurderinger som må gjøres.

IT-leverandørene oppdaterer ofte i tillegg tjenestene og vilkårene underveis i avtaleforholdet. For kommunene kreves det dermed ikke kun ressurser til å gjennomføre risikoanalyser og inngå avtaler med leverandørene, men også til å følge opp løsningen over tid og påse at personvernet ivaretas når det gjøres endringer i løsningen. Dersom en leverandør endrer en tjeneste på en måte som utfordrer personvernet, stilles kommunen i en vanskelig posisjon. Enten må kommunene forsøke å forhandle med leverandøren, eller bytte system, som krever mye ressurser og tid.

Den store variasjonen i tilgang på personvernkompetanse fører til store forskjeller mellom kommunene i hvordan personvernregelverket blir etterlevd og dermed i hvilken grad personvernet til barna i skolen og barnehagen blir ivaretatt. Det fører også til forskjeller i hvilke læringsmidler store og små kommuner har ressurser til å vurdere og dermed til å ta i bruk. Ulik tilgang på personvernkompetanse påvirker altså ikke bare personvernet, men også hvilke digitale læringsmidler og pedagogiske løsninger elevene i ulike kommuner har tilgang til.

Som et svar på kompetanse- og ressursutfordringene i skolesektoren knyttet til ivaretakelse av personvern, etablerte KS prosjektet Skolesec i 2021. Formålet med Skolesec er å se på muligheter for forenkling og forbedring av personvern- og informasjonssikkerhetsprosesser i anskaffelse og implementering av digitale tjenester i skolen. Prosjektet har fått midler til å drive ut 2022.

Personvernkommisjonen mener det er avgjørende for personvernet til barn i skole og barnehage at kommunene sikres tilstrekkelige personvernressurser, herunder tilgang på ressurser med grunnleggende teknologikompetanse. Dette er en forutsetning for å kunne gjøre gode vurderinger og ivareta personvernet på løpende basis.

Personvernkommisjonen mener det må etableres mekanismer som legger til rette for at kommunene kan ivareta behandlingsansvaret på en bedre måte enn i dag. Risikovurderinger og testing av digitale løsninger som skal brukes i skoler og barnehager over hele landet, bør profesjonaliseres og sentraliseres.

Personvernkommisjonen anbefaler at det etableres, eller videreutvikles i allerede eksisterende strukturer (som Skolesec eller Sikt), et tverrfaglig nasjonalt test- og kompetansemilø som ivaretar følgende funksjoner:

• Kompetansemiljø som koordinerer og utvikler verktøy og malverk som setter kommunene i stand til å gjennomføre risikovurderinger og personvernkonsekvensvurderinger og å etablere effektiv internkontroll.

• Testing av digitale løsninger som skal brukes i skoler og barnehager. Resultatene fra testingen av løsningene bør kommuniseres videre til de ansvarlige for den nasjonale tjenestekatalogen.

• Forhandlingsledelse og forhandlingsstøtte til kommunene i deres forhandlinger med plattformleverandørene. Dette vil styrke kommunenes forhandlingsmakt ved at det vil være lettere å stille nødvendige krav til tjenestene (utfordringer knyttet til innkjøp og forhandlinger er nærmere diskutert avsnitt 8.4.5)

For å sikre at hver enkelt kommune ivaretar ansvaret som behandlingsansvarlig for løsningene, er det viktig å påse at kommunene etablerer rutiner for systematiske risikovurderinger av løsningene etter at de er implementert.

8.4.3 Ansvar og rutiner

Å implementere gode rutiner, med tydelige beskrivelser av roller og ansvar, er viktig for å sikre etterlevelse av personvernregelverket. Dette er særlig viktig i skole- og barnehagesektoren, fordi det ofte er lang avstand mellom kommunen som behandlingsansvarlig og ned til skole- og barnehagehverdagen, der de digitale læringsmidlene tas i bruk og behovet for anskaffelser av nye læringsmidler oppstår.

Det er viktig at kommunen og skolen samarbeider godt om å ivareta elevenes personvern. Kommunen skal blant annet gjennomføre organisatoriske tiltak for å sikre etterlevelse av personvernregelverket.262 For eksempel kan ansvaret utøves av rektor. Uansett er det kommunens øverste ledelse som har ansvaret for behandlingen.

Gode internkontrollrutiner, med tydelig beskrivelse av roller og ansvar, skal sikre at alle fra kommunenivå og ned til skoleledelsen og den enkelte ansatte, kjenner til pliktene i personvernregelverket og hvordan de skal gå frem for å ivareta personvernet til elevene og barnehagebarna. Uten gode rutiner er det krevende for kommunen å ivareta sitt behandlingsansvar.

Kommisjonen har etter innspillsrunder med representanter fra kommunene fått inntrykk av at det er utfordrende å etablere gode rutiner for personvernarbeidet. Kommunen har gjerne overordnede rutiner for internkontroll, men disse er ofte lite kjent i barnehagene og skolene. Rutinene er ofte heller ikke tilpasset skole- og barnehagesektorens særskilte utfordringer. Dette fører blant annet til at lærere eller barnehagelærere tar i bruk digitale verktøy uten at det rapporteres videre til skolens eller barnehagens ledelse, eller fra skoleledelsen og videre opp til skoleeier.

Personvernkommisjonen har for eksempel inntrykk av at det ikke er uvanlig at det er lærerne som velger ut hvilke «gratisverktøy» de ønsker å benytte seg av i undervisningen og at gratisapper benyttes i noe grad for å bøte på manglende ressurser til å betale for læringsverktøy. Disse verktøyene går ikke gjennom kommunens anskaffelsesbudsjett og det foretas ofte ikke vurderinger av personvernrisiko før verktøyet tas i bruk.

Ålesund kommune ble ilagt overtredelsesgebyr fra Datatilsynet i 2021 etter at lærere ved en skole påla elevene å laste ned treningsappen Strava på deres private mobiltelefoner. Saken illustrerer viktigheten av å ha gode rutiner og opplæring, for å sikre at alle som er involvert i bestilling og bruk av digitale verktøy i skolen vet hvem som har ansvaret for å gjøre hva, før løsninger tas i bruk.

Personvernkommisjonen mener kommunene som behandlingsansvarlig i større grad må utarbeide tilpassede rutiner og veiledning til skoleledelse og lærere. Det bør blant annet utarbeides retningslinjer som klargjør roller og ansvar knyttet til anskaffelse og bruk av nye digitale læringsverktøy. Rutiner som er tilpasset de enkelte situasjonene vil i større grad sikre at regelverket etterleves og gir samtidig de ansatte i skolen en større trygghet om at det de gjør er riktig.

Personvernkommisjonen mener Utdanningsdirektoratet i større grad bør hjelpe og tilrettelegge for at kommunene kan ivareta sitt behandlingsansvar etter personvernregelverket. Dette innebærer blant annet at kommunene får bistand til å etablere nødvendige og tilpassede rutiner samt veiledning.

8.4.3.1 Rutiner for bruk av skolens digitale læringsmidler utenfor skolen

Som omtalt i avsnitt 8.3 om rettslige rammer, har kommunen ansvar for å ivareta barns informasjonssikkerhet og personvern når personopplysninger behandles i skolesammenheng. Foreldrene har på sin side ansvar for å ivareta barns beste, herunder barns personvern, i forbindelse med bruk av digitale enheter utenfor skolen og barnehagen.

Med den økende bruken av digitale læringsverktøy og innlevering av oppgaver og lekser på nett, har skillet mellom skole og fritid blitt mindre skarpt. Ved mange skoler får elevene tildelt egne nettbrett av skolen. Enhetene må tas med hjem for å gjøre lekser og kobles til internett utenfor skolens nettverk. Barna har ofte mulighet til også å benytte nettbrettene og PC-ene til private aktiviteter.

I praksis ligger en stor del av ansvaret for ivaretakelse av informasjonssikkerhet og personvern hos skolen, fremfor foreldre/foresatte. Skolen har administratorrettigheter til utstyret, og er de eneste som har mulighet til å konfigurere enhetene, slik at personvern er ivaretatt i standardinnstillingene på samtlige enheter. Dette innebærer at skolene eksempelvis kan konfigurere standardinnstillinger for nettleser, innholdsfiltre263 og andre teknologiske virkemidler for å sikre at elevenes personvern blir ivaretatt på best mulig måte. Det er videre kun administrator som kan velge hvor mye data som automatisk deles med leverandør om bruk av operativsystemet, eller velge hvilken nettleser som er installert på PC-en eller nettbrettet. Foresatte har ikke mulighet til å gå inn og endre innstillinger for å hindre at opplysninger om barnet samles inn av operativsystemet som benyttes.264

I sin kartlegging har Personvernkommisjonen ikke sett eksempler på skriftlige rutiner som tydeliggjør kommunens ansvar for elevenes personvern ved bruk av skolens digitale utstyr utenfor skolen.

Personvernkommisjonen mener det er viktig at kommunene har rutiner som sikrer at barns personvern ivaretas når digitale verktøy benyttes utenfor skolens område. Dette betyr blant annet å tydeliggjøre eventuelle begrensninger i skolens ansvar, og å utarbeide retningslinjer for hvordan foreldre kan bidra til å ivareta sine barns personvern ved bruk av digitale verktøy utenfor skolen. Endelig bør kommunene regelmessig følge opp og vurdere om tiltakene og rutinene til enhver tid er tilstrekkelige.

Mange av de digitale læringsmidlene elevene benytter til skolearbeid lagrer opplysninger om hvor, når og hvor lenge skolearbeidet ble utført. Dette medfører risiko for at lærere og andre ansatte ved skolen kan benytte disse opplysningene til å føre kontroll med for eksempel når på døgnet lekser utføres og hvor mye tid elevene bruker på skolearbeidet.

Personvernkommisjonen mener det er viktig at kommunene har rutiner og retningslinjer som sikrer at ikke lærere og andre ansatte ved skolen bruker opplysninger som samles inn og lagres i elevenes digitale enheter til kontrollformål. Kommunen må også lage rutiner som påser at elever og foreldre informeres om hvilke opplysninger som samles inn og hva de brukes til. Viktigheten av informasjon diskuteres nærmere i avsnitt 8.4.8

Personvernkommisjonen mener det vil være synergieffekter å hente ut for kommunene hvis de samarbeider med andre kommuner om utarbeidelse av veiledende rutiner. Som behandlingsansvarlig er det også kommunens ansvar å sørge for at ansatte i skolen har tilstrekkelig kompetanse til å ivareta elevenes personvern. Som ledd i arbeidet med å styrke internkontrollen i skole- og barnehagesektoren, mener kommisjonen at lærere og barnehagelærere må få bedre opplæring i personvern og hensynene bak personvernregelverket. Hvordan digitale verktøy brukes i praksis har stor betydning for ivaretakelsen av personvernet til barna.

8.4.4 Bruk av elevers personopplysninger til kommersielle formål

Mange av systemene og tjenestene som brukes i skolen leveres av kommersielle aktører som samler inn personopplysninger for analyseformål, levering av tilpassede tjenester, eller for andre kommersielle formål.

Det kan være særskilte utfordringer knyttet til bruken av tjenester for å levere tilpasset læringsanalyse eller for å analysere/måle elevers aktiviteter og prestasjoner, inkludert mulig diskriminering, skjeve resultater og nedkjølingseffekter på elevers atferd. Dette er problemstillinger som Ekspertutvalget for læringsanalyse skal se nærmere på, og vil følgelig ikke behandles videre her.

Problemstillinger knyttet til innsamling og analyse av elevers personopplysninger er relevante også for andre verktøy enn kun læringsanalyseverktøy. Bruken av kommersielle verktøy i skolen innebærer i mange tilfeller at det samles inn personopplysninger til formål utover å levere tjenesten til elevene. Det er skoleeiers ansvar å sørge for at verktøy som tas i bruk ikke bryter med personvernprinsippene.

Det kan være flere årsaker til at skoler tar i bruk kommersielle digitale verktøy, slik som nytteverdi, at elever er vant til grensesnittet, at verktøyene er rimelige eller ikke koster noe å anskaffe, og en rekke andre grunner. Før slike verktøy anskaffes og tas i bruk må det uansett foretas en personvernvurdering for å sikre at elevenes personvern ivaretas.

Datatilsynet peker i sin årsrapport fra 2020 på særlige utfordringer knyttet til bruken av såkalte «gratisapper» i skolen. Tilsynet understreker at bruken av slike verktøy som regel vil innebære at personopplysninger om elevene samles inn og anvendes til andre formål.265 Selv om bruken av gratistjenester gjerne innebærer at leverandøren har en forretningsmodell basert på bruk av personopplysninger, betyr ikke dette at betalte alternativer nødvendigvis ikke bruker, deler eller selger personopplysninger.266

Som beskrevet nærmere i kapittel 9 om forbrukernes personvern, har det oppstått et stort kommersielt marked for personopplysninger. I tillegg til å anvendes for å levere bedre tjenester, deles personopplysninger med tredjeparter, brukes til markedsføringsformål, profileringsformål og mye mer. I forbrukersammenheng er denne bruken av personopplysninger ofte basert på forbrukerens samtykke – selv om slike samtykker har klare begrensninger. Ved bruk av verktøy i skolen har elevene, eller deres foresatte, som regel ikke noe annet valg enn å ta i bruk tjenestene. Det er skoleeier som dermed må sørge for å ha oversikt over hvordan verktøyene behandler personopplysninger, hvilke tredjeparter opplysningene eventuelt kan deles med, og hvilke formål de kan brukes til.

I praksis er det svært utfordrende for den enkelte skoleeier å ha oversikt over hvordan personopplysninger samles inn og brukes når elever tar i bruk kommersielle verktøy. Det kan føre til at elevenes personopplysninger deles i vid utstrekning. For eksempel avdekket Bouvet i sin rapport om personvern i skolen at tjenester benyttet i skolen deler lokasjonsdata, viderebehandler personopplysninger til uspesifiserte formål, og at elevenes personopplysninger lagres i USA.267

Da skoler og barnehager stengte i mars 2020 som følge av covid-19-pandemien, måtte all undervisning foregå digitalt. Lærerne ble oppmuntret av kommunene til å bruke gratis læringsressurser på nett og fikk nyttige erfaringer og mer kunnskap om digitale læringsverktøy. Da skolene ble stengt ned, kom undervisningen i første rekke, mens regler og rutiner om personvern kom på plass etter hvert.268

Bruken av Google i skolen reiser også mulige personvernutfordringer. I 2020 irettesatte Datatilsynet tre kommuner for deres bruk av verktøyene Google Chromebook og G Suite for Education.269 En undersøkelse gjennomført av tilsynet avdekket betydelige mangler ved hvordan kommunene hadde tatt i bruk verktøyene i skolen. Ifølge Datatilsynet inkluderte manglene at kommunene ikke ga informasjon om riktig behandlingsgrunnlag for behandlingen, at de manglet oversikt over hvilke personopplysninger som ble behandlet til hvilke formål, og manglende risikovurderinger.

I kjølvannet av undersøkelsene publiserte Datatilsynet en veileder for bruk av Google Chromebook og G Suite for Education i grunnskolen.270 Tilsynet anbefaler blant annet at kommuner avstår fra å ta i bruk digitale tjenester som innebærer profilering av elevene. Datatilsynet understreker at kommunene må gjøre en fullstendig gjennomgang av avtalene tjenester de ønsker å benytte er omfattet av. I tillegg til å ha oversikt over databehandlingen og avtalene som regulerer dette, må kommunene gi tilstrekkelig informasjon til elever og foresatte, for å sikre at disse kan ivareta sine rettigheter. Kommunene skal også forsikre seg om at løsningene de vil benytte har innebygd personvern, at det føres protokoll over behandlingsaktivitetene, samt at det gjennomføres grundige risikovurderinger av personvern og IKT-sikkerhet.

Eksemplene ovenfor illustrerer at det kan være svært vanskelig for den enkelte skoleeier å ha oversikt over hvordan personopplysninger behandles ved bruk av kommersielle verktøy. Brukervilkår og personvernerklæringer er ofte mange, lange og kompliserte. Det er ofte nødvendig med høy personvernkompetanse for å kunne forstå innholdet i vilkårene og erklæringene. Samtidig er digitale verktøy i mange tilfeller sammensatte tjenester, med flere tredje- og fjerdepartsleverandører i verdikjedene, samt at forretningsmodellene er vanskelig å skjønne. For eksempel kan det være vanskelig å fastslå om profilering av elevene skjer og om disse profilene brukes for eksempel til markedsføring, eller om personopplysningene og profilene om eleven faktisk slettes etter en viss tid. Det krever også spesialkompetanse for å etterprøve hvordan personopplysninger behandles og/ eller hvor de overføres. I tillegg kan det være utfordrende å formidle informasjon om behandlingen til elever og foresatte.

Personvernkommisjonen vil imidlertid påpeke at den omfattende kommersielle innsamlingen, behandlingen og delingen av personopplysninger som har blitt normalisert i skolen og barnehagen ikke alene kan løses gjennom å gi foreldre og barn mer informasjon. Det er kommisjonens syn at utfordringene knyttet til dagens digitaliserte skole og barnehage ikke lar seg løse ved å overlate ansvaret til foreldre og barn. I stedet må skoleeiere gjennomføre konkrete vurderinger av alle verktøy som benyttes og sørge for at verktøy med omfattende kommersiell sporing ikke benyttes i skolen.

Personvernkommisjonen er også bekymret for at elever, gjennom ukritisk bruk av kommersielle digitale tjenester i skolen, blir opplært til å selv ha et ureflektert forhold til bruk av digitale tjenester. Som beskrevet i kapittel 9 om forbrukernes personvern, kan utstrakt innsamling av personopplysninger føre til personvernkynisme, hvor man gir opp å ivareta eget personvern fordi man overveldes. Det er svært uheldig dersom skolene bidrar til denne utviklingen.

Boks 8.6 Reklame for slanketabletter i skolekalkulator-app]

Som et eksempel på uakseptabel eksponering for markedsføring i apper brukt i skolen, ble Personvernkommisjonen gjort oppmerksom på et tilfelle hvor en jente på syvende trinn ble vist annonser for slanketabletter i kalkulator-appen på skolens iPad.

Forstørr bilde

Far til datter (12 år).

Personvernkommisjonen mener regjeringen må sette av midler og sørge for tilgang til kompetanse for fortløpende evalueringer av hvordan, og i hvilken grad, digitale læremidler påvirker og ivaretar barns personvern.

Personvernkommisjonen mener regjeringen må ta initiativ til en bred utredning av digitale verktøy som er i bruk i norsk skole i dag og hvordan de påvirker barns personvern. En slik utredning bør gjelde alle typer læremidler og øvrige metoder og verktøy som brukes i undervisningssammenheng. Hvilke kontroll- og overvåkningsmuligheter disse verktøyene gir, hvilken kunnskap det er mulig å trekke ut av opplysningene som samles inn og lagres og hvordan kunnskapen blir brukt til nytte for elever og for utdanningsinstitusjoner, bør belyses i en slik utredning. Videre bør det kartlegges hvordan personopplysningene som samles inn viderebehandles til ulike formål.

På oppdrag fra Personvernkommisjonen, har Christian Falch gjennomført intervjuer med 37 elever fra 8 – 19 år om holdninger til og kunnskap om personvern.271 Et av funnene i Falchs rapport er at «alle deltakerne i undersøkelsen oppgir at de får mye reklame på læringsbrett og skole-PCer. Her er reklame direkte i apper, i nettlesere og for eksempel i forbindelse med visning av innhold på YouTube noe de fleste trekker frem. Eksponering for reklame er et stort og alvorlig problem i skolehverdagen og bør adresses som et eget tema». Personvernkommisjonen vil påpeke at skoleeier har plikt til å skjerme elevene for uønsket påvirkning etter opplæringsloven § 9-6 og privatskoleloven § 7-1a.272

Personvernkommisjonen mener annonseblokkeringsverktøy eller andre tiltak på elevenes utstyr må vurderes som et tiltak for å redusere elevenes eksponering mot reklame. Dette kan i tillegg bidra til å redusere sporingen av elevenes digitale aktivitet til kommersielle formål.

8.4.5 Innkjøp og forhandlinger

Det er kommunen som behandlingsansvarlig som har ansvaret for å kjøpe inn digitale løsninger til bruk i skolen. Løsningene som leveres til skolen blir stadig mer komplekse og krever at innkjøperen har god forståelse for de teknologiske, juridiske og forretningsmessige aspektene av tjenestene. Hvis denne kompetansen ikke er på plass, blir leverandørene i praksis premissgiver for hvordan barnas personopplysninger behandles i skolen og barnehagen.

Personvernkommisjonen har i innspillsmøter fått tilbakemelding på at det er store forskjeller i hvilken grad kommunene har kompetanse og ressurser til å ivareta forhandlingsmakten overfor leverandørene. Mange store kommuner har teknologiforståelse, juridisk kunnskap og kapasitet til å sette krav til produktene de kjøper, samt til å gjøre tilpasninger av systemer og bruk, slik at produktet oppfyller kravene til personvern og informasjonssikkerhet. Mange små kommuner, uten samme tilgang til personvernkompetanse, vil derimot i større grad kjøpe IKT-tjenester som hyllevare uten at det settes krav til tilpasninger for å ivareta elevenes personvern.

I handlingsplanen for digitalisering i grunnopplæringen skriver Kunnskapsdepartementet at kommunenes forhandlingsmakt med de internasjonale selskapene Google, Microsoft og Apple er begrenset.273 Handlingsplanen kommer ikke med anbefalinger eller tiltak til hvordan kommunenes forhandlingsmakt kan styrkes.

I forhandlinger med leverandører, spesielt med de store teknologiselskapene, er det en fordel å selv være en stor aktør for å få gjennomslag for særskilte krav. For å styrke og profesjonalisere innkjøpsmakten sin, har enkelte kommuner gått sammen og sentralisert anskaffelse av digitale enheter og læringsressurser ved å opprette interkommunale selskap. Et eksempel er Søre Sunnmøre IKT som er et interkommunalt selskap eid av sju kommuner i Møre og Romsdal.274

Det er ikke nødvendigvis slik at alle digitale verktøy i utdanningssektoren må kjøpes inn fra eksterne leverandører. Som i andre sektorer, for eksempel innen helsesektoren, vil det i visse tilfeller være aktuelt at det offentlige utvikler egne tjenester og verktøy for skole- og barnehagesektoren, som beskrevet nedenfor i avsnitt 8.4.6.

Ettersom det er kommunene som er behandlingsansvarlige og dermed ansvarlige for å gjøre forsvarlige innkjøp av nye løsninger, har ikke staten en rolle som forhandlingspart ved innkjøp av digitale læremidler i skolesektoren. Personvernkommisjonen mener likevel at innkjøp og forhandlinger, spesielt fra de store plattformleverandørene, bør profesjonaliseres og sentraliseres. Statlige myndigheter og/eller KS bør gå aktivt inn i forhandlinger med plattformleverandørene på vegne av kommunene for å avhjelpe maktskjevheten mange småkommuner står i. Ved å styrke forhandlingsmakten vil det være lettere å stille nødvendige krav, og få gjennomslag for kravene, til tjenestene som behandler personopplysninger om elever og barnehagebarn. Kommersiell utnytting av personopplysninger i skolen er etter Personvernkommisjonens syn ikke akseptabelt.

Personvernkommisjonen mener innkjøp og forhandlinger av løsninger til skole- og barnehagesektoren må forankres i den nasjonale personvernpolitikken for skolen og barnehagen. Denne politikken må inneholde tydelige krav til kvaliteten på læringsmidlene, samtidig som de ivaretar barns rett til personvern og vern mot at data som samles inn om elevene benyttes til kommersielle formål.

I avsnitt 8.4.2 foreslår Personvernkommisjonen at bistand til forhandlingsledelse og forhandlingsstøtte kan legges til et nasjonalt test- og kompetansemiljø. Kommisjonen mener statlige myndigheter bør se på muligheten for å inngå samarbeid med andre land i forhandlinger med de globale plattformleverandørene, for eksempel innenfor rammen av det nordiske samarbeidet.

8.4.6 Utvikling av digitale læringsverktøy

De globale plattformleverandørene har på få år blitt dominerende på leverandørsiden i norsk skole. Disse leverandørene leverer både gode og brukervennlige tjenester til en rimelig pris. Dette harmonerer godt med skoler og barnehagers ambisjoner om å kunne drive god læring med gode verktøy til en pris som passer i deres begrensede budsjetter. Samtidig kan utviklingen skape en uheldig markedsdominans som gjør at personvernvennlige alternativer ikke slipper til på markedet.

Skolesektoren er et attraktivt marked for plattformleverandørene av flere årsaker. For det første tjener leverandørene på ordinær betaling for levering av software og hardware-produkter. Skolen er imidlertid også et attraktivt marked fordi det gjør det mulig for leverandørene å etablere en forbrukerrelasjon til barna, en forbrukerrelasjon som potensielt kan vare livet ut. Barna blir gjennom skolen vant til å bruke et bestemt operativsystem og brukergrensesnitt og terskelen for å bytte tjeneste blir høy. På denne måten er det å tilby svært billige tjenester til skole og barnehage en investering som kan gi betydelige gevinster for selskapene i et lengre perspektiv.

Utenfor skolesystemet er det foreldrene eller barnet selv som velger hvilken tjeneste som skal benyttes. I skolen er det kommunen som er ansvarlig for å velge tjenesteleverandør og hvordan og i hvilket omfang tjenesten skal brukes. Kommuner og skolemyndigheter har dermed stor påvirkningskraft på innbyggernes forhold til digitale tjenester. Det er viktig at kommunene forstår og er bevisst dette ansvaret når de går til innkjøp av digitale tjenester i skolen.

Som beskrevet i kapittel 9 om forbrukernes personvern, kan markedsdominansen til de globale tjenesteleverandørene innenfor digitale tjenester føre til svekket personvern ved at personvernvennlige alternativer ikke klarer å entre markedet. Dette gjelder også i skolesektoren. Personvernkommisjonen har hatt dialog med den norske edtechbransjen gjennom leverandøren Neddy, som gir uttrykk for at det i dag er krevende for mindre, nasjonale, aktører å få solgt sine tjenester til skolesektoren.

Personvernkommisjonen mener den nasjonale personvernpolitikken for skole- og barnehagesektoren bør inneholde tiltak for å støtte norske virksomheter som utvikler løsninger som bygger opp under prinsippene i den nasjonale utdanningspolitikken og barns grunnleggende rettigheter – og som ikke bygger på en forretningsmodell som profitterer på barns personopplysninger.

Personvernkommisjonen mener at dersom vurderinger gjennomført av det nasjonale test- og kompetansesenteret viser at eksisterende løsninger ikke ivaretar personvernet på en tilfredsstillende måte, må statlige myndigheter investere i utvikling av nye, forsvarlige løsninger. Kommisjonen anser at det kan være hensiktsmessig å gjøre slike investeringer i europeisk eller nordisk regi. Norge kan, og bør etter kommisjonens syn, ta en foregangsrolle i dette arbeidet.

8.4.7 Undervisning i personvern

De siste årene har læreplaner og strategier vektlagt digital kompetanse hos barn. Ifølge Kunnskapsløftet 2020 er skolen en viktig arena for å gi barn digital kompetanse.275 Det fremgår i tillegg av rammeverk for grunnleggende ferdigheter at digital kompetanse skal inkludere elementer som nettvett, personvern, informasjonssikkerhet, digital dømmekraft og etisk refleksjon.276

Digital dømmekraft er en samlebetegnelse på juridiske, etiske og moralske forhold som knyttes til bruk av digitale verktøy, ressurser og medier. I rammeverk for grunnleggende ferdigheter forklares det å utøve digital dømmekraft, som å «følge regler for personvern og vise hensyn til andre på nett». Det handler om å «bruke strategier for å unngå uønskede hendelser og å vise evne til etisk refleksjon og vurdering av egen rolle på nett og i sosiale medier.»277

Digital dømmekraft inngår også i rammeplanen for barnehagene.278 Rammeplanen fremhever at barnehagen skal bidra til at barna utvikler en begynnende etisk forståelse knyttet til digitale medier. Det fremgår i tillegg av rammeplanen at personalet skal «utøve digital dømmekraft når det gjelder informasjonssøk, ha et bevisst forhold til opphavsrett og kildekritikk og ivareta barnas personvern».279 Utdanningsdirektoratet har gratis kompetansepakker som ansatte i skole og barnehage kan benytte seg av.280

Når det gjelder lærere, er en del av grunnutdanningen at de skal kunne vurdere og bruke digitale verktøy og ressurser i opplæringen, og kunne gi elevene opplæring i digitale ferdigheter. Lærere skal ha «profesjonsfaglig digital kompetanse» og bruk av digitale verktøy skal være en del av alle fag.281

Det gis altså opplæring i både barnehage og grunnskolen om personvern i instrumentell forstand, for eksempel gjennom digital dømmekraft og nettvett. Selv om dette er viktig for livsmestring i en digital hverdag, mener kommisjonen at slik mestring bør understøttes av forståelse av personvern i vid forstand. Så vidt Personvernkommisjonen har oversikt over, undervises det i liten grad om personvern som en grunnleggende menneskerettighet, eller i forbindelse med samfunnsfag. En grunnleggende forståelse av hvorfor personvern er viktig for ytringsfrihet og et velfungerende demokrati, er en viktig forutsetning for et opplyst samfunnsliv, og gir nødvendig kontekst for betydningen av digital dømmekraft.

Medieskadelighetsutvalget282 som overleverte sin rapport i 2021, ser også behovet for å bevisstgjøre barn om personvern. De skriver i sin utredning at mer kunnskap hos barn, unge, foreldre og lærere om den storstilte innsamlingen av personopplysninger som foregår når vi bruker digitale medier, er avgjørende for å kunne håndtere en digital verden.

I Christian Falchs undersøkelse om elevers holdninger til og kunnskap om personvern, kommer det frem at elevene har lav bevissthet om begrepet personvern.283 Kun tre av elevene kunne forklare hva personvern er. Undersøkelsen avdekker at ingen av deltakerne har hatt undervisning om personvern som tar utgangspunkt i innsamling av personopplysninger og digitale økosystemer. Kunnskapen om grunnleggende digitale ferdigheter og nettvett er imidlertid relativt god. Barna har god bevissthet rundt grunnleggende nettsikkerhet og personvernrelaterte emner som beskyttelse av passord, kildekritikk, mobbing på nett og uønsket bildedeling. Foreldre oppgis som den første og viktigste kilden til kunnskap om grunnleggende nettsikkerhet. Nettvett-undervisning på skolen oppgis som neste viktige kilde til kunnskap.

I Falchs samtaler med elevene fremkommer det at elevene har lav bevissthet om hvordan innsamlet informasjon kan påvirke oss. Ingen kjenner egentlig til begrepet persontilpasset innhold. Dette skyldes ikke at barn og unge er kunnskapsløse eller ikke bryr seg. Svarene til elevene reflekterer lav kunnskap om dette i samfunnet generelt og at det ikke undervises i dette i skolen. Ingen av deltakerne i undersøkelsen kan huske at de i skolesammenheng har fått forklart hvordan digitale økosystemer rundt innsamling av personopplysninger fungerer – hverken kommersielt eller samfunnsmessig. Selv om begrepsforståelsen av personvern og bevisstheten om mekanismene for datainnsamling er relativt lav, påpeker Falch at elevene har en praktisk «hverdagsforståelse» av at «noen» samler informasjon om dem. Alle vet at de gir fra seg personlig informasjon i bytte mot gratis apper og tjenester. Det er allmenn aksept for denne «byttehandelen». Alle har sett sammenhengen mellom ting de har vist interesse for på nettet og reklame de har fått etterpå.

«Alle vet at TikTok overvåker deg på en måte, hvis du har kjøpt deg noe, så blir FYPen din full av akkurat det du har kjøpt», Gutt 12 år, Øvre Vang284

Et interessant funn i Falchs undersøkelse er at barna trekker frem at måten å snakke om digitale problemstillinger på er avgjørende for engasjement og forståelse. Elevene er lei av problemfokuset og ønsker heller å lære om muligheter og verdier. Basert på samtalene med elevene, konkluderer Falch i sin rapport med at tiden er inne for å bevege seg vekk fra den problemorienterte nettvettundervisningen til en mer kunnskapsorientert undervisning som fokuserer på hvordan digitale verktøy virker og påvirker den enkelte og samfunnet som helhet.

«Åhh, jeg er lei nettvettgreier, man snakker bare om alt man ikke skal gjøre», Gutt 11 år, Innlandet285

Personvernkommisjonen mener skolen må styrke opplæringen på personvern som en grunnleggende menneskerettighet. Elever bør få opplæring i de samfunnsfaglige sidene ved personvern, herunder at godt personvern er en viktig verdi i et demokratisk samfunn. Undervisning om personvern i skolen kan bidra til at elevene får et mer bevisst forhold til at deres personopplysninger behandles, og innsikt i hva digitale læringsverktøy samler inn av opplysninger. Kommisjonen understreker at ansvaret for å ivareta eget personvern ikke skal legges på den enkelte elev. Opplæring av barn er viktig for å gi dem tilstrekkelig ballast, men skal ikke ses som løsning på personvernutfordringene i skolen, snarere noe som kommer på toppen av de tiltak som kommisjonen anbefaler.

8.4.8 Barn og foresattes rettigheter

For barn og unge i skolen og barnehagen, handler personvern om at foresatte og barn skal vite om og ha kontroll over hvordan opplysningene om barna blir brukt. Informasjon til foresatte og barna om hvorfor og hvordan opplysningene om barna blir behandlet, er en grunnleggende personvernrettighet. Uten informasjon har foresatte og barn ingen mulighet til å si ifra hvis de mener skolen og barnehagen ivaretar personvernet på en dårlig måte. Uten informasjon har de heller ikke mulighet til å bruke sine andre rettigheter etter personvernforordningen, slik som retten til å be om innsyn, retting eller sletting eller å protestere på behandlingen.

8.4.8.1 Åpenhet og informasjon

Digitaliseringen av skolen fører til at skolene og kommunen etter hvert vil sitte på stadig større datamengder om elevene. For at skolene skal ivareta tillitsforholdet de har til elevene og deres foresatte, er det derfor ekstra viktig at skolene fremover gir tydelig og god informasjon om hvilke data verktøyene samler inn og hvordan de brukes.

Personvernkommisjonen har i innspillsseminar med Elevorganisasjonen og Foreldreutvalget for grunnopplæringen (FUG) fått tilbakemelding om at skoler og skoleeiere ikke gir tilstrekkelig informasjon om hvilke personopplysninger de digitale verktøyene samler inn og til hvilke formål opplysningene benyttes. Kommunene har videre ikke gode nok rutiner for å gi informasjon om, og håndtere, retten til innsyn. Kommunene må ha systemer og rutiner på plass for å kunne besvare en anmodning om informasjon og innsyn, uavhengig av om informasjon er lagret i kommunens systemer, på den enkelte skole, eller hos en databehandler.

Den overnevnte undersøkelsen til Christian Falch bygger opp under tilbakemeldingen fra Elevorganisasjonen og FUG. Ingen av elevene intervjuet i undersøkelsen til Falch kan huske å ha fått informasjon om hva skolen samler inn av personopplysninger om dem. Ingen har heller fått informasjon om hva digitale verktøy som læringsbrett og PC-er med tilhørende programvare, samler av personopplysninger om dem.

Personvernkommisjonen mener kommunene må sørge for at informasjon om hvilke opplysninger som samles inn om elevene og barnehagebarna er lett tilgjengelig.

Mangel på åpenhet og kontroll over hvilke opplysninger som samles inn og hvordan de brukes, kan føre til mistillit mellom skole og elev/hjem. Når skolen er åpen om formålet kan elevene ha et aktivt og kritisk forhold til bruken av de digitale læringsverktøyene.

Personvernkommisjonen vil imidlertid påpeke at informasjon ikke er en løsning, men en forutsetning for godt personvern, og noe som kommer i tillegg til de andre tiltak som kommisjonen anbefaler.

8.4.8.2 Rett til å protestere

Når behandling av personopplysninger skjer med grunnlag i «allmennhetens interesse eller for å utøve offentlig myndighet»,286 har elever som det er registrert opplysninger om rett til å protestere på behandlingen.287 Protester må være begrunnet i elevens «særlige situasjon».288 Skoleeier har plikt til å legge til rette for at elever/foreldre kan bruke denne rettigheten. De må derfor sørge for at skolen har rutiner som gjør denne rettigheten synlig og grei å bruke.

Retten til å protestere er særlig viktig fordi skoler og barnehager trolig i økende grad vil ta i bruk persontilpasset undervisning og læringsanalyse. Slike metoder innebærer mer utstrakt bruk av personopplysninger om barna. Maktforholdet mellom skoleeier på den ene side og elever og foresatte på den andre, er skjevt. Retten til å protestere gir den enkelte et middel til å motsette seg at skolen bruker opplysninger elevene ikke ønsker skal bli brukt. Elevenes/ foresattes mulighet til å protestere gir også en grunn for skoleeier til å velge systemløsninger og rutiner som gjør at retten til å protestere sjelden blir aktuell å bruke.

Protest mot å behandle opplysninger kan være problematisk hvis skolen dermed ikke kan behandle personopplysninger som er nødvendige for å gi elevene et fullgodt tilbud. For eksempel kan protesten gjelde opplysninger som er viktig for evalueringen av eleven eller for tilbud om individuelt tilpasset undervisning. Skoleeier plikter imidlertid å motvirke at det blir negative konsekvenser av å bruke retten til å protestere, for eksempel ved å ha et så godt alternativt opplegg som mulig for den som har protestert. Negative konsekvenser som er uunngåelige, må elevene ta hensyn til når de vurderer om de vil bruke retten til å protestere eller ikke. Uansett kan det tenkes situasjoner der en protest vil skape så store, uunngåelige negative konsekvenser at det gir skoleeier «tvingende berettigede grunner» til å bestemme at elevenes rettigheter må vike. Selv om det skal mye til for at retten til å protestere kan bli satt til side på en slik måte, kan dette forekomme.

Dersom mange elever ved en skole bruker retten til å protestere, kan skoleeier komme i en vanskelig situasjon. Antallet protester vil imidlertid kunne begrenses ved å ikke behandle andre opplysninger enn nødvendig for behandlingsformålet og generelt sørge for forsvarlig behandling av data.

Personvernkommisjonen anser det som avgjørende at verktøy ikke blir introdusert uten at det er vel begrunnet, og i samsvar med personvernregelverket.

8.4.8.3 Medvirkning

God informasjon er en forutsetning for at foreldre og elever skal ha mulighet til å medvirke eller påvirke hvilke digitale læringsmidler og systemer som benyttes i skolen. Personvernkommisjonen har fått innspill i innspillsseminar om at manglende kunnskap og informasjon fra skole og skoleeier gjør at foresatte i praksis ikke har mulighet til å engasjere seg eller medvirke i beslutninger.

Kartlegging og måling av barns ferdigheter vil bare øke i årene som kommer. Datatilsynet har vært kritiske til en utvikling der kartleggingsverktøy i stadig større grad blir brukt overfor barn uten at foreldrene samtykker til dette.289Personvernkommisjonen er skeptisk til om samtykke er løsningen, da dette kan stille elever ulikt, avhengig av hva foreldrene samtykker til, og det kan i praksis blir vanskelig for skole/skoleeier å administrere. Kommisjonen anser det i stedet som avgjørende at foreldrene har mulighet til å gi innspill og delta aktivt ved utforming og implementering av slike kartleggingsverktøy.

I innspillseminar med Personvernkommisjonen trakk Elevorganisasjonen frem at elevene mangler gode og effektive medvirkningsmuligheter knyttet til ivaretakelse av elevenes personvern. De trakk særlig frem videoovervåkning i skoletiden som en personvernutfordring der de opplever at elevenes perspektiv ikke er hensyntatt i tilstrekkelig grad. Elevorganisasjonen mener videoovervåking i skoletiden utgjør en for stor innskrenkning av personvernet sett opp mot fordelene ved slik overvåkning. Ifølge Elevorganisasjonen stopper ikke videoovervåkning uønskede hendelser, og fører i stedet til at elever tilpasser atferden sin. Organisasjonen etterlyste et totalforbud mot videoovervåkning i skoletiden.

Et annet eksempel på en problemstilling der Elevorganisasjonen mener elevene burde bli involvert, er pålegg om å ha kamera på pcen påslått i forbindelse med digital undervisning. Under covid-19-pandemien uttalte flere i skolesektoren at lærere burde kunne kreve at elevene skrur på kamera under undervisningen, forutsatt at dette var pedagogisk begrunnet.290 Det kan være mange gode grunner til at lærerne ønsker å se elevene, som for eksempel kontroll av deltakelse og fravær, og for å kunne gi tilbakemelding og veiledning. Elevorganisasjonen pekte i et intervju med Utdanningsnytt på at mange elever føler seg ukomfortable foran kamera av ulike grunner. Organisasjonen viste for eksempel til at enkelte elever skammer seg over hjemmet de bor i eller at det er flere andre familiemedlemmer hjemme som ikke ønsker å bli eksponert foran kamera til hele klassen.291

I forbindelse med vurderinger av personvernkonsekvenser, skal den behandlingsansvarlige, dersom det er relevant, innhente synspunkter på den planlagte behandlingen fra de registrerte eller deres representanter. Personvernkommisjonen anser at å innhente registrertes synspunkter er et viktig risikoreduserende tiltak i forbindelse med innføring av tiltak som innebærer behandlinger av personopplysninger med høy risiko for de registrertes rettigheter og friheter. Også Datatilsynet har gjort funn i prosjektet «Aktivitetsdata for vurdering og tilpassing» (AVT), som deltok i Datatilsynets sandkasse i 2022, som underbygger interessentinvolveringen som et viktig tiltak for å identifisere og redusere personvernrisiko.292

Personvernkommisjonen mener kommunene bør legge til rette for reelle medvirkningsmuligheter for elever og foresatte i beslutninger som berører barnas personvern i vesentlig grad. Elever og foresatte kan involveres på ulike måter, blant annet i forbindelse med gjennomføringen av personvernkonsekvensvurderinger. Andre medvirkningsarenaer der skoleeier kan innhente og diskutere synspunkter med elever og foresatte er i Elevutvalget, FAU og Foreldreutvalget for grunnopplæringen (FUG).

8.5 Personvernkommisjonens anbefalinger oppsummert

Nasjonale føringer

• Personvernkommisjonen mener det må etableres en helhetlig og offensiv statlig personvernpolitikk i skole- og barnehagesektoren. Kommisjonen mener at den nasjonale personvernpolitikken for barnehage og skole må:

  • sette kommuner, skoler og barnehager i stand til å bruke digitale tjenester og læringsverktøy på en måte som ivaretar barns og unges personvern.

  • sørge for at både barns rett til utdanning og rett til vern av personopplysninger ivaretas, samtidig som kommunalt selvstyre og metodefrihet i skolen og barnehagen bevares.

  • stille tydelige krav til kvaliteten på de digitale tjenestene også hva angår personvern.

  • inneholde og konkretisere krav til at leverandører av tjenester til skole- og barnehagesektoren ikke kan benytte forretningsmodeller som profitterer kommersielt på barn personopplysninger. I praksis betyr dette at det ikke er akseptabelt å benytte leverandører som forbeholder seg retten til å bruke barn og unges data til kommersielle formål, spesielt markedsføringsaktiviteter.

  • fange opp tiltak som kommer frem i arbeidet til Ekspertutvalget som er nedsatt for å se på personvernutfordringer knyttet til bruk av læringsanalyse.

• Personvernkommisjonen mener behovet for en nasjonal tjenestekatalog er stort, og kan være et viktig initiativ for i praksis å sørge for at skoleeiere kan velge tjenester som ikke bare er funksjonelle, men også ivaretar personvern på en tilfredsstillende måte. Det må sikres at tjenestekatalogen stiller klare og etterprøvbare krav til personvern og informasjonssikkerhet. Tjenestekatalogen bør gi oversikt over læremidler der det er gjennomført risiko- og sårbarhetsanalyse og personvernkonsekvensvurderinger. En velfungerende tjenestekatalog forutsetter kontinuerlige endringer og oppdateringer, da digitale tjenester kan endres fortløpende.

• Personvernkommisjonen mener statlige myndigheter må ta initiativ til å utarbeide en personvernnorm for skole- og barnehagesektoren. En personvernnorm kan bidra til å sette kommunene bedre i stand til å ivareta behandlingsansvaret sitt og sikre en mer helhetlig og omforent ivaretakelse av barns personvern i barnehagen og grunnskolen. En norm kan også bidra til å forenkle kommunenes anskaffelsesprosesser ved å oppstille krav som leverandørene må etterleve og vil være kjent med.

Kompetanse og ressurser

• Personvernkommisjonen mener det er avgjørende for personvernet til barn i skole og barnehage at kommunene sikres tilstrekkelige personvernressurser, herunder tilgang på ressurser med grunnleggende teknologikompetanse. Dette er en forutsetning for å kunne gjøre gode vurderinger og ivareta personvernet på løpende basis.

• Personvernkommisjonen anbefaler derfor at det etableres, eller videreutvikles i allerede eksisterende strukturer, et tverrfaglig nasjonalt test- og kompetansemiljø som ivaretar følgende funksjoner:

  • Kompetansemiljø som koordinerer og utvikler verktøy og malverk som setter kommunene i stand til å gjennomføre risikovurderinger og personvernkonsekvensvurderinger og å etablere effektiv internkontroll.

  • Testing av digitale løsninger som skal brukes i skoler og barnehager. Resultatene fra testingen av løsningene bør kommuniseres videre til de ansvarlige for den nasjonale tjenestekatalogen.

  • Forhandlingsledelse og forhandlingsstøtte til kommunene i forhandlinger med plattformleverandørene. Dette vil styrke kommunenes forhandlingsmakt ved at det vil være lettere å stille nødvendige krav til tjenestene.

Rutiner og veiledning

• Personvernkommisjonen mener kommunene i større grad må sørge for tilpassede rutiner og veiledning til skoleledelse og lærere. Det bør blant annet utarbeides retningslinjer som klargjør roller og ansvar knyttet til anskaffelse og bruk av nye digitale læringsverktøy.

• Personvernkommisjonen mener Utdanningsdirektoratet i større grad bør hjelpe og tilrettelegge for at kommunene kan ivareta sitt behandlingsansvar etter personvernregelverket. Dette innebærer blant annet at kommunene får bistand til å etablere nødvendige og tilpassede rutiner og veiledning.

• Personvernkommisjonen mener det er viktig at kommunene har rutiner som sikrer at barns personvern ivaretas når digitale verktøy benyttes utenfor skolens område. Dette betyr blant annet å tydeliggjøre eventuelle begrensninger i skolens ansvar, og å utarbeide retningslinjer for hvordan foreldre kan bidra til å ivareta sine barns personvern ved bruk av digitale verktøy utenfor skolen. Endelig bør kommunene regelmessig følge opp og vurdere om tiltakene og rutinene til enhver tid er tilstrekkelige.

• Personvernkommisjonen mener det er viktig at kommunene har rutiner og retningslinjer som sikrer at lærere og andre ansatte ved skolen ikke bruker opplysninger som samles inn og lagres i elevenes digitale enheter til kontrollformål. Kommunen må også lage rutiner som påser at elever og foreldre informeres om hvilke opplysninger som samles inn og hva de brukes til.

• Personvernkommisjonen mener det vil være synergieffekter å hente ut for kommunene hvis de samarbeider med andre kommuner om utarbeidelse av veiledende rutiner.

• Som ledd i arbeidet med å styrke internkontrollen i skole- og barnehagesektoren, mener Personvernkommisjonen at lærere og barnehagelærere må få bedre opplæring i personvern og hensynene bak personvernregelverket.

Bruk av elevers personopplysninger til kommersielle formål

• Personvernkommisjonen mener regjeringen må ta initiativ til en bred utredning om digitale verktøy som er i bruk i skolen og hvordan de påvirker barns personvern. En slik utredning bør gjelde alle typer læremidler og øvrige metoder og verktøy som brukes i undervisningssammenheng. Hvilke overvåkningsmuligheter disse verktøyene gir, hvilken kunnskap det er mulig å trekke ut av opplysningene som samles inn og lagres og hvordan kunnskapen blir brukt til nytte for elever og for utdanningsinstitusjoner, bør belyses i en slik utredning. Videre bør det kartlegges hvordan personopplysningene som samles inn viderebehandles til ulike formål. Kommisjonen anser at det er sentralt å vurdere dette også fra et datastrategisk perspektiv. Data om norske elevers læringsmønstre er strategisk viktige, og kan ikke overlates til kommersielle aktører for videre bruk, eller på måter der Norge reelt sett gjør seg avhengig av disse aktørene.

• Personvernkommisjonen mener annonseblokkeringsverktøy eller andre tiltak på elevenes utstyr må vurderes som et tiltak for å redusere elevenes eksponering mot reklame. Dette kan i tillegg bidra til å redusere sporingen av elevenes digitale aktivitet til kommersielle formål.

Innkjøp og forhandlinger

• Personvernkommisjonen mener innkjøp og forhandlinger, spesielt fra de store plattformleverandørene, bør profesjonaliseres og sentraliseres. Statlige myndigheter og/eller KS bør gå aktivt inn å bistå kommunene i forhandlinger med plattformleverandørene for å avhjelpe maktskjevheten mange småkommuner står i. Ved å styrke forhandlingsmakten vil det være lettere å stille nødvendige krav til tjenestene som skal behandle personopplysninger om elever og barnehagebarn.

• Personvernkommisjonen mener statlige myndigheter bør se på muligheten for å inngå samarbeid med andre land i forhandlinger med de globale plattformleverandørene, for eksempel innenfor rammen av det nordiske samarbeidet.

• Personvernkommisjonen mener innkjøp og forhandlinger om løsninger til skole- og barnehagesektoren må forankres i den nasjonale personvernpolitikken for skolen og barnehagen. Denne politikken må inneholde tydelige krav til kvaliteten på læringsmidlene, samtidig som de ivaretar barns rett til personvern og vern mot at data som samles inn om elevene benyttes til kommersielle formål.

Utvikling av forsvarlige digitale læringsmidler

• Personvernkommisjonen mener den nasjonale personvernpolitikken for skole- og barnehagesektoren bør inneholde tiltak for å støtte norske virksomheter som utvikler løsninger som bygger opp under prinsippene i den nasjonale utdanningspolitikken og barns grunnleggende rettigheter – og som ikke bygger på en forretningsmodell som profiterer på barns personopplysninger.

• Personvernkommisjonen mener at dersom vurderinger gjennomført av det nasjonale test- og kompetansesenteret viser at eksisterende løsninger ikke ivaretar personvernet på en tilfredsstillende måte, må statlige myndigheter investere i utvikling av nye, forsvarlige løsninger. Kommisjonen anser at det kan være hensiktsmessig å gjøre slike investeringer i europeisk eller nordisk regi. Norge kan, og bør etter kommisjonens syn, ta en foregangsrolle i dette arbeidet.

Undervisning i personvern

• Personvernkommisjonen mener skolen må styrke opplæringen på personvern som en grunnleggende menneskerettighet. Elever bør få opplæring i de samfunnsfaglige sidene ved personvern, herunder at godt personvern er en viktig verdi i et demokratisk samfunn. Undervisning om personvern i skolen kan bidra til at elevene får et mer bevisst forhold til at deres personopplysninger behandles, og innsikt i hva digitale læringsverktøy samler inn av opplysninger. Kommisjonen understreker at ansvaret for å ivareta eget personvern ikke skal legges på den enkelte elev. Opplæring av barn er viktig for å gi barna tilstrekkelig ballast, men skal ikke ses som løsning på personvernutfordringene i skolen, snarere noe som kommer på toppen av de tiltak som kommisjonen anbefaler.

Ivaretakelse av barnas og foresattes rettigheter

• Personvernkommisjonen mener kommunene må sørge for at informasjon om hvilke opplysninger som samles inn om elevene og barnehagebarna er lett tilgjengelig.

• Personvernkommisjonen mener kommunene bør legge til rette for reelle medvirkningsmuligheter for elever og foresatte i beslutninger som berører barnas personvern i vesentlig grad. Elever og foresatt kan involveres på ulike måter, blant annet i forbindelse med gjennomføringen av personvernkonsekvensvurderinger. Andre medvirkningsarenaer der skoleeier kan innhente og diskutere synspunkter med elever og foresatt er i Elevutvalget, FAU og Foreldreutvalget for grunnopplæringen (FUP).

9 Forbrukernes personvern

9.1 Innledning

Personvernkommisjonen skal ifølge mandatet kartlegge «forbrukeres reelle muligheter til å ivareta eget personvern ved bruk av digitale løsninger og tjenester». Herunder skal kommisjonen vurdere om «bransjenormer, merkeordninger eller sertifiseringsmekanismer kan brukes bedre». Personvernkommisjonen skal videre «utrede hvilke konsekvenser bruk av sosiale medier har for innsamling, analyse og viderebruk av personopplysninger». Kommisjonen skal på bakgrunn av dette foreslå tiltak for å «sikre personvernet, herunder den enkelte borgers mulighet for å ivareta eget personvern».

Kommisjonen oppfatter problemstillingene knyttet til forbrukeres personvern ved bruk av digitale tjenester og personvernet til brukere av sosiale medier, som overlappende. De to mandatpunktene vil derfor bli behandlet samlet. Der problemstillinger knytter seg særlig til sosiale medier, vil Personvernkommisjonen fremheve dette. Kommisjonen tolker begrepet «forbruker» i vid forstand, da digitale forbrukertjenester og plattformer som for eksempel sosiale medier brukes til en rekke formål og i mange forskjellige sammenhenger som gjør det utfordrende og tidvis uhensiktsmessig å trekke klare skiller mellom blant annet forbruker- og innbyggerrollen.

For å beskrive hvordan personvernet til forbrukerne påvirkes i dag, vil Personvernkommisjonen i dette kapitlet peke på hva som kjennetegner en forbruker av digitale tjenester og hvorfor forbrukere er sårbare i dag, samt hvordan sårbarheten arter seg. Kommisjonen ønsker også å si noe om hvilke faktorer som bidrar til at personvernet til forbrukerne er under press, herunder hvorfor personopplysninger samles inn, hva de brukes til og hvordan virksomheter tjener penger på personopplysninger.

I dag foregår en stadig større del av forbrukernes hverdag digitalt. Smarttelefoner og tilkoblede produkter har ført til at mennesket er digitalt tilkoblet tilnærmet døgnet rundt. Flere av verdens største selskaper er globale teknologiselskaper som har innsamling og bruk av personopplysninger som kjernevirksomhet, slik som Alphabet (Google), Meta (Facebook) og Amazon. Personopplysninger brukes til å utvikle og tilpasse tjenester basert på enkeltpersoners eller gruppers behov. Samtidig brukes personopplysninger til å målrette markedsføring. Innsamling og bruk av personopplysninger er ikke i seg selv problematisk, og kan være en forutsetning for utvikling av mange gode forbrukertjenester. Det er likevel en forutsetning for ivaretakelse av forbrukernes personvern at innsamling og bruk av personopplysninger skjer på en åpen, rettferdig og forståelig måte, og ikke er mer omfattende enn nødvendig.

Det er i dag krevende for forbrukerne å ha oversikt og kontroll over hvordan opplysninger om dem samles inn og brukes. Undersøkelser viser at mangelen på oversikt og kontroll har ført til at mange forbrukere oppgir at de føler en form for resignasjon når det kommer til ivaretakelse av personvernet sitt. Undersøkelser viser også at forbrukernes opplevelse av mangel på kontroll, fører til tap av tillit til enkelte digitale tjenesteleverandører, særlig til de globale plattformselskapene.293

Ettersom en stor andel av de mest populære digitale forbrukertjenestene drives av internasjonale selskaper, har Norge et begrenset nasjonalt handlingsrom. Mange av de viktigste prosessene knyttet til regulering og håndheving skjer på europeisk nivå. Det betyr ikke at Norge er maktesløse. Som Personvernkommisjonen vil peke på i dette kapitlet, kan norske myndigheter ta tydelige standpunkter som kan ha internasjonal effekt. Arbeidet med å sikre norske forbrukeres personvern bør skje gjennom aktivt samarbeid med EU og andre lands myndigheter.

9.1.1 Begreper og definisjoner

En forbruker defineres vanligvis som en fysisk person som kjøper en vare eller en tjeneste utenfor næringsvirksomhet eller yrke, der tingen eller tjenesten hovedsakelig er til privat bruk. Denne definisjonen skiller såkalte forbrukerkjøp fra transaksjoner som skjer i næring, for eksempel mellom næringsvirksomheter og andre, juridiske personer eller institusjoner.294

Forbrukerne skal ha god og tilstrekkelig informasjon om varer og tjenester som tilbys i markedet, og kunnskap om sine rettigheter som forbruker. Informasjon fremmer forbrukermakt og gjør det mulig for forbrukerne å ta opplyste valg. Den digitale forbrukerrollen karakteriseres også av at forbrukere går fra å være kunder til å være brukere av mange tjenester. For eksempel er det ikke alltid mulig å skille når forbrukerrollen slutter og innbyggerrollen begynner når man deltar i en politisk diskusjon eller oppsøker informasjon fra myndighetene i sosiale medier. Flere av problemstillingene som drøftes i dette kapitlet vil derfor gjelde forbrukerrollen i utvidet forstand, og kan overlappe med andre samfunnsroller den enkelte har.

Digitale forbrukertjenester omfatter blant annet sosiale medier, søkemotorer, markedsplasser, digitale plattformer og e-handelstjenester.295 Eksempler på digitale tjenester er ulike fitness- og helseapper, nettbutikker, plattformtjenester som AirBnB, samt diverse verktøy som Google Søk. I tillegg er stadig flere forbrukerprodukter utstyrt med programvare, sensorer og andre digitale komponenter. Slike produkter kan samles under betegnelsen tingenes internett.

I den digitale forbrukerhverdagen er mange populære tjenester tilgjengelig for gratis bruk, for eksempel fordi tjenestene er reklamefinansierte eller fordi tjenestetilbyderne tjener penger på bruk eller salg av personopplysninger samlet inn fra brukerne. Selv om brukerne av såkalte gratis tjenester ikke nødvendigvis vil oppfatte bruken av tjenesten som en del av et kundeforhold, fordi det ikke involverer en pengetransaksjon, vil bruken fortsatt omfattes av forbrukerbegrepet, og følgelig behandles i dette kapitlet.

Begrepet plattformer omfatter blant annet online markedsplasser, sosiale medier, appbutikker, prissammenligningstjenester, delingsøkonomitjenester og søkemotorer. Fellestrekk for plattformer inkluderer bruk av kommunikasjons- og informasjonsteknologi for å muliggjøre interaksjon mellom brukere, innsamling og bruk av data om interaksjoner, samt nettverkseffekter der antallet brukere øker nytteverdien av plattformen.296

Atferdsbasert markedsføring er ikke et eksakt definert begrep. I praksis brukes begrepet om reklame basert på observasjon av atferden til individer over tid. Atferdsbasert markedsføring er basert på utledning av egenskaper fra analyse av handlinger (gjentatte nettstedsbesøk, interaksjoner, søkeord, tid brukt på innhold, osv.) for å utvikle en bestemt profil og skreddersy annonser til enkeltpersoner for å matche deres antatte interesser. Atferdsbasert markedsføring omtales tidvis også som tilpasset eller målrettet markedsføring.297 Målretting kan være basert på atferd som beskrevet over. Målretting kan imidlertid også være basert på annen informasjon, som data som en person oppgir direkte, for eksempel adresse eller kjønn. I det følgende bruker Personvernkommisjonen begrepet atferdsbasert markedsføring for enkelhets skyld.

9.1.2 Politiske føringer for ivaretagelse av forbrukernes personvern

Norske myndigheter har i løpet av de siste årene publisert en rekke stortingsmeldinger og strategier om digitaliseringen av forbrukerhverdagen. Selv om disse som regel omhandler de positive endringene digitaliseringen bidrar til, er personvernutfordringer et gjennomgående tema.

I Meld. St. 25 (2018–2019) Framtidas forbrukar – grøn, smart og digital, peker Solberg-regjeringen på at målsetningen om datadreven innovasjon skaper betydelige personvernutfordringer for forbrukerne, blant annet på grunn av mangel på kontroll og informasjon til forbrukerne. Det påpekes at Solberg-regjeringen ønsker en utvikling hvor forbrukere i større grad kan velge personvernvennlige alternativer, og at personvern blir et konkurransefortrinn.298 Dette skal blant annet skje gjennom styrket kunnskap om personvern blant forbrukere og næringslivsaktører og gjennom internasjonalt samarbeid for å styrke personvernet. Personvern er også en del av et større bilde, og det fremgår at Solberg-regjeringen vil «leggje vekt på betre tilsyn med reglane og styrkt samarbeid mellom styresmaktene i politikk som gjeld forbrukarsaker, personvern, IKT-tryggleik og konkurranse.»299

Meld. St. 22 (2020–2021) Data som ressurs – Datadrevet økonomi og innovasjon omhandler hvordan dataøkonomien kan bli en sterk driver for økonomisk vekst. Det inkluderer blant annet ambisjoner om økt datadeling mellom offentlig og privat sektor, samt å tilrettelegge for at Norge kan spille en aktiv part i dataøkonomien. I meldingen understrekes det at dette ikke skal skje på bekostning av personvernet, og at personvern er nødvendig for å bevare tillit i samfunnet. Kommersialisering av personopplysninger, manglende informasjon og kontroll, samt manglende håndheving av grensekryssende saker trekkes fram som noen hovedutfordringer for forbrukernes personvern. Det fremgår også her at personvern bør være et konkurransefortrinn.

«Ansvarlig og etisk bruk av data er viktig for å bevare tilliten i det norske samfunnet. Deling og bruk av data skal skje på en måte som ivaretar individets rettigheter og friheter. For eksempel kan økt deling og bruk av personopplysninger til nye formål utfordre personvernet og den enkeltes autonomi. Virksomheter som deler og bruker data, skal ikke bare vurdere lovligheten i bruken av personopplysninger og andre sensitive data, men også foreta en etisk vurdering.»

Meld. St. 22 (2020–2021) Data som ressurs – Datadrevet økonomi og innovasjon300

I 2021 lanserte Solberg-regjeringen Rett på nett – Nasjonal strategi for trygg digital oppvekst. Denne strategien omhandler barn og unges digitale hverdag.301 Det pekes på at det kreves et kunnskapsløft om personvern blant barn og unge, at tilsyn med digital markedsføring mot barn må koordineres og styrkes, og at plattformer må ansvarliggjøres, blant annet gjennom den kommende forordningen om digitale tjenester (Digital Services Act, DSA).

I 2020 lanserte Solberg-regjeringen sin «Nasjonale strategi for kunstig intelligens». Strategien peker på personvern som et sentralt prinsipp for ansvarlig og etisk bruk og utvikling av kunstig intelligens:

«Regjeringen vil at Norge skal gå foran i utvikling og bruk av kunstig intelligens med respekt for den enkeltes rettigheter og friheter. Kunstig intelligens i Norge skal bygge på etiske prinsipper, respekt for personvernet og god digital sikkerhet.»302

Videre sier strategien at «Norske myndigheter har fulgt EUs arbeid med modernisering av forbrukerrettighetene tett, og vil også gjøre dette fremover.»303

Personvernkommisjonen mener Regjeringen bør være en aktiv pådriver i EUs lovgivingsprosesser som berører forbrukernes personvern.

9.2 Utviklingstrekk som påvirker forbrukernes personvern

Forbrukerhverdagen har gjennomgått omfattende og grunnleggende endringer i løpet av de siste 20 årene.304 Stadig større deler av hverdagen har blitt digitalisert. Nordmenn handler varer på nett, forvalter egen økonomi i nettbank, styrer husholdningsapparater med mobiltelefonen, og holder sosial kontakt gjennom sosiale medier. Rundt 96 prosent av alle nordmenn mellom ni og 79 år har smarttelefon.305 Stadig flere produkter kobles på nett, som bidrar til at mange enheter får nye funksjoner, kan lære av sine omgivelser, og tilby bedre tjenester for forbrukerne.306

Digitaliseringen har ikke bare endret hva vi forbruker, men også hvordan vi forbruker. Innenfor områder som aviser, film, musikk og dataspill har forbruksmønstre beveget seg fra kjøp av fysiske produkter, til forbruk av heldigitale tjenester, ofte i form av abonnementstjenester. Slike tjenester opererer gjerne ved å samle inn data, inkludert personopplysninger, for å skreddersy tjenestetilbud til brukerne og utvikle nye tjenester og produkter.

Den digitale forbrukerhverdagen preges altså av en omfattende datainnsamling om hver enkelt av oss. Mange selskaper vet «alt» om oss, men den enkelte forbruker har hverken kompetanse eller mulighet til å forstå mange av disse selskapenes forretningsmodeller, databehandling, eller formål med innsamlingen. Denne informasjonsasymmetrien drøftes videre i avsnitt 9.4.4.

I det følgende gis det en oversikt over digitale tjenester og utviklingstrekk som påvirker forbrukerhverdagen og forbrukernes personvern.

9.2.1 Sosiale medier

Sosiale medier er nettsider og apper som tilrettelegger for å skape og dele innhold, og å samhandle med andre brukere. Sentrale kjennetegn ved sosiale medier er at de ofte eies av globale aktører, og brukes på tvers av landegrenser, samt at de finansieres helt eller delvis av reklame. Facebook er det mest brukte sosiale mediet, med over tre og en halv million brukere i Norge over 18 år. Twitter, Instagram, YouTube, Tiktok og Snapchat er også mye brukt.307

Sosiale medier har blitt en hjørnestein i hverdagen. Det er arenaer for å holde kontakt med venner og familie, delta i lokalmiljø og interessefellesskap, følge og delta i samfunnsdebatter, konsumere underholdning, selge og kjøpe produkter, og mye mer. For de fleste forbrukere i Norge er det så godt som umulig å ikke ha noen form for tilstedeværelse i sosiale medier uten at man melder seg ut av samfunnet.

Sosiale medier brukes av privatpersoner til å kommunisere med andre brukere, men de brukes også av virksomheter og organisasjoner til nyhetsformidling, markedsføring, politiske ytringer og offentlig informasjon. Skillet mellom privatpersoner og virksomheter kan fremstå som uklart i sosiale medier. Brukerinnhold og kommersielt innhold kan overlappe, for eksempel ved influensermarkedsføring.

Sosiale medier kjennetegnes ved at forbrukerne kan laste opp, dele, spre og konsumere innhold. I mange tilfeller vil brukerne primært konsumere innhold delt av andre, inkludert av kommersielle eller profesjonelle aktører, heller enn å poste mye selv. I mange sosiale medier skilles det mellom offentlig tilgjengeliggjort innhold, som kan sees av alle brukerne av det sosiale mediet, og privat innhold. Grensedragningen mellom hva som regnes som offentlig tilgjengeliggjort innhold og hva som regnes som privat, kan imidlertid være vanskelig å trekke. Det kan for eksempel være vanskelig å vurdere om en lukket Facebookgruppe med et stort antall medlemmer kan regnes som privat eller offentlig.

Meta, Twitter, Tiktok og andre sosiale medieplattformer har som forretningsmodell å samle inn personopplysninger om brukerne og å utnytte disse videre til markedsføringsformål. Alt fra bruksmønster, lokasjonsdata, interesser, og mer samles inn. Opplysningene brukes til å utvikle annonseverktøy som gjør det mulig for virksomheter og organisasjoner å nå relevante forbrukersegmenter med sitt budskap. For eksempel kan en lokalbedrift som selger fiskeutstyr bruke slike annonseverktøy til å nå forbrukere i nærmiljøet som er opptatt av sportsfiske.

9.2.2 Plattformøkonomien

«Uber, the world’s largest taxi company, owns no vehicles. Facebook, the world’s most popular media owner, creates no content. Alibaba, the most valuable retailer, has no inventory. And Airbnb, the world’s largest accommodation provider, owns no real estate.»

- Tom Goodwin, journalist308

Netthandel har opplevd en betydelig vekst i løpet av de siste ti årene, og har blitt ytterligere forsterket som en følge av covid-19-pandemien.309 Flere av de største aktørene innenfor netthandel, slik som Amazon, Alibaba og AirBnB, er en del av plattformøkonomien. Plattformøkonomien kjennetegnes av at store, ofte globale plattformer videreformidler salg av varer og tjenester mellom næringsdrivende og forbrukere, eller mellom to eller flere forbrukere. Flere av de største plattformselskapene selger ikke produkter direkte til forbrukerne, men fungerer som formidlere av produkter og tjenester.

For forbrukerne kan transaksjoner som foregår gjennom plattformer fremstå som alminnelig netthandel. Forbrukeren betaler en sum, og mottar produktet eller tjenesten. Samtidig har dette konsekvenser for kundeforholdet. Er forbrukeren kunde av Uber eller av sjåføren en sitter på med? Hvem har ansvar dersom noe går galt? Dette kan utfordre tradisjonelle forbrukerrettigheter fordi plattformselskapet blir et mellomledd mellom kjøper og selger som ikke var der tidligere.

Plattform-modellen kan ha personvernkonsekvenser for den enkelte dersom plattformen ikke har kontroll over hvordan tredjepartsselgere mottar og behandler personopplysninger. I bakgrunnen samler plattformene selv inn store mengder personopplysninger om forbrukerne, om deres preferanser, brukeranmeldelser og lignende. Denne informasjonen brukes til å tilpasse innhold eller levere en tjeneste. Det er for eksempel nødvendig at en transportplattform vet hvor du befinner deg for å kunne sende en bil til riktig sted.

9.2.3 Oppmerksomhetsøkonomien

Digital markedsføring har blitt hovedinntektskilden for store deler av den digitale økonomien. Digitale annonser lar annonsører og innholdsprodusenter (publisister) målrette budskap, men har også bragt nye muligheter for å måle effekten av markedsføringen. Dette innebærer blant annet kontinuerlig måling av klikk på annonser, hvor mange forbrukere som har sett en annonse, hvor lenge forbrukerne ser på videoer og om en forbruker handlet et produkt etter å ha sett en annonse. Sammen med en økende innsamling av brukerdata, har dette bidratt til fremveksten av en oppmerksomhetsøkonomi, hvor forbrukeres oppmerksomhet kvantifiseres og kommersialiseres.

Oppmerksomhetsøkonomien innebærer at plattformer og andre tjenester designes for å holde mest mulig på brukernes oppmerksomhet. Jo mer tid forbrukere bruker på en plattform, jo flere annonser vil de se. Dette vil igjen generere data, som plattformen kan tjene penger på. For eksempel har en rekke strømmeplattformer introdusert automatisk avspilling av videoer, og sosiale medier bruker ofte nyhetsstrømmer som brukeren kan bla gjennom i det uendelige.310

I 2021 avslørte en varsler at Facebook promoterte skadelig innhold fordi det skaper brukerengasjement.311 Avsløringen skapte overskrifter over hele verden, og bekreftet at polariserende og kontroversielt innhold ble prioritert av selskapet fordi det øker inntjeningen.

Det pågår en omfattende samfunnsdebatt om problematiske sider ved sosiale medier og oppmerksomhetsøkonomien generelt. Personvernkommisjonen har valgt å avgrense sin drøftelse til de utfordringene som direkte berører personvern.

9.2.4 Tingenes internett

Tingenes internett er et samlebegrep for fysiske produkter som utstyres med programvare, sensorer og andre digitale komponenter. Dette inkluderer alt fra treningsarmbånd og tilkoblede leketøy, til smarthjem og medisinske implantater. Fremveksten av tingenes internett innebærer at personopplysninger kan samles inn på stadig nye måter og i nye kontekster.

Fordelene ved tingenes internett er flerfoldige. Bruken av digital velferdsteknologi som fallsensorer og blodtrykksmålere kan for eksempel bidra til høyere livskvalitet og til at eldre kan bo hjemme lengre. På forbrukersiden kan for eksempel smarthus med stemmeassistenter gjøre hverdagen enklere, mens aktivitetsarmbånd kan motivere til en sunnere livsstil.

Selv om det er flere fordeler ved at stadig flere gjenstander blir internettilkoblede, skaper utviklingen en rekke utfordringer knyttet til personvern og sikkerhet. Svært mange produkter i tingenes internett er utstyrt med sporingsteknologi og sensorer som samler inn informasjon om sine omgivelser. Dette muliggjør datainnsamling i stor skala, og bidrar til at informasjon om bevegelse, kroppslige funksjoner, stemme og mye mer kan registreres, analyseres og gjenbrukes. Problemstillinger knyttet til internettilkoblede produkter diskuteres mer inngående i avsnitt 9.4.1.

9.2.5 Kunstig intelligens

«Given the major impact that AI can have on our society and the need to build trust, it is vital that European AI is grounded in our values and fundamental rights such as human dignity and privacy protection.» – Europakommisjonen312

Kunstig intelligens (KI) er en samlebetegnelse for maskinlæringssystemer «som viser intelligent adferd ved å analysere sine omgivelser og utføre handlinger – med en grad av autonomi – for å oppnå gitte mål».313 Et vidt spekter av forbrukerrettede produkter og tjenester inneholder slike maskinlæringssystemer, fra stemmegjenkjenning og søkemotorer til tilkoblede biler. Kunstig intelligens benyttes gjerne for å automatisere prosesser som ellers ville krevd en manuell innsats. For eksempel kan et KI-system brukes for å gjenkjenne ulovlig bildemateriale i et sosialt medium og flagge dette så fort det lastes opp, noe som ville vært fysisk umulig for mennesker å gjennomføre i samme skala.

Siden KI-systemer trenes opp ved å analysere eksisterende data, krever det ofte betydelige mengder opplysninger. Et relativt «enkelt» system, slik som anbefalingssystemene i flere strømmetjenester, fungerer ved at aktivitetsdata fra samtlige brukere samles inn og analyseres i forsøk på å forutse hva en enkelt bruker vil kunne ha interesse av. Dette kan bidra til bedre og mer treffsikre tjenester, samt effektivisering i stor skala, men dersom systemet anvender personopplysninger vil det kunne ha konsekvenser for personvernet til den enkelte forbruker.

Kunstig intelligens kan også anvendes til svært komplekse oppgaver, som legger grunnlaget for nye teknologier. Ansiktsgjenkjenning er et eksempel. Teknologien kan brukes i forbrukerøyemed, for eksempel til å låse opp smarttelefonen ved bruk av telefonens kamera. Ansiktsgjenkjenning kan også brukes for markedsføringsformål. For eksempel møtte Peppes Pizza kritikk i 2017 for å ha brukt denne teknologien i et reklameskilt på Oslo S for å tilpasse markedsføring basert på kjønn.314

Kunstig intelligens anvendes også innenfor sektorer som forsikring og finans. For eksempel gjøres kredittvurderinger i mange tilfeller basert på maskinlæringssystemer som analyserer store mengder informasjon for å predikere risiko. Det kan bidra til mer effektiv behandling av søknader, men kan også gjøre det utfordrende å utlede hvorfor en enkeltsøknad blir avvist eller godkjent.

9.2.6 Forbrukernes muligheter til å ivareta eget personvern

I Personvernkommisjonens mandat står det at kommisjonen skal: «Kartlegge forbrukeres reelle muligheter til å ivareta eget personvern ved bruk av digitale løsninger og tjenester, og vurdere om bransjenormer, merkeordninger eller sertifiseringsmekanismer kan brukes bedre, jf. personvernforordningen kapittel IV avsnitt 5».

Personvernregelverket legger til grunn at registrerte blant annet skal ha mulighet til å kontrollere hvordan egne personopplysninger behandles, hvem opplysningene deles med, og kunne motsette seg behandlingen. I prinsippet har altså forbrukerne rettigheter som skal sikre at deres personvern ivaretas.

I praksis oppfatter imidlertid Personvernkommisjonen at mulighetene forbrukerne har til å ivareta eget personvern i dag er svært begrensede. I de følgende avsnittene vil kommisjonen beskrive hvordan forbrukerne spores på tvers av tjenester, på nett og i det fysiske rom, av et stort antall aktører de færreste forbrukere har hørt om. Dette har bidratt til at det for de fleste forbrukere er en uoverkommelig oppgave å ha oversikt over, og kontroll med, hvilke opplysninger som samles inn og hvem disse opplysningene deles med. Når data sammenstilles og analyseres for å utlede nye opplysninger, blir det desto vanskeligere å forstå hvordan opplysningene kan anvendes eller misbrukes.

Informasjonsasymmetrien i det digitale forbrukermarkedet kan beskrives som en systemisk sårbarhet, hvor markedets struktur fører til at forbrukerne gir opp å forsøke å ivareta personvernet sitt. Dette har ført til at enkelte eksperter innenfor personvern- og forbrukerrett har argumentert for at det bør legges til grunn at sårbarhet er normaltilstanden for alle digitale forbrukere, og at alle derfor bør ha rett til ekstra beskyttelse.315

For eksempel støter de fleste forbrukere på flere titalls cookieforespørsler på daglig basis. Slike forespørsler dukker opp på de fleste nettsider, og spør om besøkende vil godta bruk av informasjonskapsler (cookies) til en rekke formål. Mengden cookieforespørsler hver enkelt forbruker må ta stilling til hver dag, samt den teknologiske og juridiske kompetansen som er nødvendig for å forstå innholdet i forespørslene, gjør det krevende for de aller fleste å ta et informert valg før man samtykker.

Mange tjenesteleverandører har tilrettelagt for at brukerne kan tilpasse personverninnstillinger for å ivareta personvernet sitt. Selv om forbrukerne har muligheten til å justere på slike innstillinger, er det få som gjør det, også på de største plattformene.316 Dette kan skyldes at det er vanskelig å finne fram til og/eller forstå innstillingene, at forbrukerne antar at tjenesteleverandøren ivaretar personvernet, eller at man rett og slett har gitt opp å beskytte eget personvern. Dersom en forbruker tar i bruk personverninnstillinger, er det i mange tilfeller umulig å vite om alle aktørene i verdikjeden respekterer innstillingene som gjøres.317 I praksis ber man altså hver enkelt forbruker om å gjøre svært kompliserte juridiske og teknologiske vurderinger flere ganger om dagen, kun for å besøke en nettside eller benytte en app.

Det samlede trykket av den kommersielle overvåkning på nett fører altså til at forbrukere i dag har svært liten mulighet til å ivareta eget personvern. Selv om forbrukerne kan endre på enkelte personverninnstillinger, installere programvare som blokkerer enkelte former for sporing, eller velge bort enkelte tjenester, er det i praksis tilnærmet umulig for de aller fleste forbrukere å stanse all potensiell uønsket innsamling og bruk av personopplysninger. Som forklart i kapittel 3, er det også kollektive aspekter ved personvern som ikke kan løses ved individuelle forbrukervalg.

Som følge av at det i dag er begrensede muligheter for den enkelte til å ivareta eget personvern på en effektiv måte, er det i mange tilfeller lite hensiktsmessig å legge ansvaret for ivaretakelse av eget personvern på den enkelte forbruker. Alle tiltak som har til hensikt å styrke forbrukernes evne til selvbeskyttelse, slik som for eksempel nettvett-kampanjer, må derfor ikke sees som en erstatning for regulering og håndheving av eksisterende regelverk.

Personvernkommisjonen ser at forbrukerne i dag har svært begrensede muligheter til å ivareta eget personvern. Samtykkeforespørsler blir brukt i for stor grad, uten å gi noen reell beskyttelse eller kontroll. Dette skaper tretthet og en følelse av avmakt blant forbrukerne. Det er derfor særlig viktig at norske myndigheter tar ansvar for å beskytte norske forbrukeres personvern ved å føre en offensiv personvernpolitikk opp mot EU.

Personvernkommisjonen anbefaler at Regjeringen tar initiativ til å utrede hvordan teknologi kan brukes for å beskytte forbrukere, for eksempel gjennom personvernvennlige standardinnstillinger eller automatisk blokkering av illegitim sporing, som beskrevet i kapittel 11. Det er vesentlig at det offentlige tar et slikt initiativ, slik at det ikke utelukkende er de globale plattformaktørene som i praksis leder an i dette arbeidet.

9.2.6.1 Sertifiseringsmekanismer, atferdsnormer og standarder

Personvernforordningen legger opp til at sertifiseringsmekanismer og atferdsnormer kan anvendes for å styrke personvernet.318 Slike ordninger kan i prinsippet bidra til at personvernet ivaretas bedre i forbrukertjenester.

Merkeordninger og sertifiseringsmekanismer har imidlertid enkelte svakheter som gjør at de i praksis kan ha begrenset nytteverdi i personvernsammenheng.

Sertifiseringsordninger forutsetter kontinuerlige evalueringer for å sikre reell beskyttelse. Digitale forbrukertjenester er som regel dynamiske, og både funksjonalitet og databehandling kan endres over natten. Det betyr at en tjeneste som er «godkjent»-merket en dag, kan være diskvalifisert til merket neste dag.

Videre er både merkeordninger og sertifiseringsmekanismer som regel frivillige og basert på selvregulering. Dette skaper betydelige utfordringer knyttet til kontroll og etterprøvbarhet. Ettersom mange av de største aktørene opererer globalt, vil det også være vanskelig for en særnorsk ordning å få fotfeste innenfor mange tjeneste- og produktsektorer.

Personvernkommisjonen mener at sertifiseringsmekanismer og bransjenormer kan ha nytteverdi i enkelte tilfeller. Bransjenormer kan for eksempel bidra til å «løfte gulvet» for godt personvern, og gi like forutsetninger for konkurrenter. Nasjonale sertifiseringsmekanismer kan være hensiktsmessige innen sektorer som for eksempel helse eller skole, men det forutsetter kompetansemiljøer som har kontroll med hvilke systemer som anskaffes og iverksettes, og ansvar for å kontinuerlig følge opp at sertifiseringen er i tråd med den faktiske databehandlingen.

Personvernkommisjonen mener videre at internasjonalt standardiseringsarbeid kan bidra til at produkter og tjenester med høy personvernrisiko ikke selges hos norske forhandlere. Dette forutsetter imidlertid at det internasjonale standardarbeidet foregår i åpne og demokratiske prosesser, hvor aktører og representanter fra for eksempel sivilsamfunnet kan delta på lik linje med bransjeorganisasjoner og store teknologiselskaper.319

9.3 Rettslige rammer

Behandling av forbrukeres personopplysninger omfattes av personvernregelverket, se omtale av personvernregelverkets materielle virkeområde i kapittel 4. Det betyr at regelverkets krav til behandlingsansvarlige og de registrertes rettigheter gjelder når næringsdrivende behandler forbrukeres personopplysninger.

Utover personvernregelverket reguleres behandling av forbrukeres personopplysninger av både nasjonal og internasjonal lovgivning.

Digitale tjenester er underlagt en rekke ulike reguleringer. Særlovgivning som for eksempel gjelder for kjøp og salg av bolig, skiller seg fra regelverk som gjelder apper som tilbyr kjøp og salg av fond.

En ytterligere kompliserende faktor er at mange nye og innovative digitale forbrukertjenester utfordrer det etablerte regelverket, som ofte er utviklet for å regulere analoge arbeidsprosesser eller tjenester. Dette medfører at det oppstår en mengde gråsoner og tolkningsmuligheter som gjør det vanskelig for digitale forbrukere (og til en viss grad også for tjenesteleverandører) å forstå og å hevde rettighetene sine.

Nedenfor gjøres det kort rede for relevant sektorlovgivning. Dette etterfølges av en kortfattet oversikt over kommende nye regelverk som vil ha relevans for norske forbrukeres personvern.

9.3.1 Sektorlovgivning

Forbrukernes forhold til digitale tjenesteleverandører reguleres gjennom en rekke lover, inkludert blant annet markedsføringsloven, angrerettloven og forbrukerkjøpsloven. Disse lovene berører ikke personvernspørsmål direkte, men er i flere tilfeller tilstøtende til personvernregelverket, for eksempel når det gjelder atferdsbasert markedsføring.

Markedsføringsloven og forbrukerkjøpsloven håndheves av Forbrukertilsynet. Markedsføringsloven regulerer markedsføring mot forbrukere, samt forbud mot urimelige avtalevilkår i kontrakter som inngås mellom forbruker og næringsdrivende. Et av lovens mest sentrale avsnitt gjelder forbud mot villedende og urimelig handelspraksis. Det inkluderer blant annet forbud mot aggressiv og villedende markedsføring.320 Barn har et særlig krav på vern etter markedsføringsloven, som beskrives nedenfor i avsnitt 9.5. Forbrukerkjøpsloven regulerer forholdet mellom næringsdrivende og forbruker. Loven gir blant annet regler for vareoverlevering ved et salg, og gir rammer for hva som kan inkluderes i en kjøps- og salgskontrakt.321

9.3.1.1 Særnorsk implementering av kommunikasjonsvernsdirektivet

Lov om elektronisk kommunikasjon (ekomloven) håndheves av Nasjonal kommunikasjonsmyndighet. Ekomloven med forskrifter regulerer blant annet kommunikasjonsvernet, herunder taushetsplikt for tilbydere med mer, sletteplikt for trafikkdata mv., samt krav til vern av kommunikasjon og data. Hensynet bak kommunikasjonsvernet er langt på vei sammenfallende med formålet med personvernet. Ekomloven inneholder også bestemmelser og krav for bruk av informasjonskapsler (cookies) og annen sporingsteknologi, som følger av norsk implementering av kommunikasjonsvernsdirektivet.322 Europakommisjonen la fram et forslag om en kommunikasjonsvernforordning i 2017, men det er ikke klart når en slik forordning vil bli vedtatt.

Kommunikasjonsvernsdirektivet regulerer blant annet personvernet i kommunikasjonsutstyr, og gjelder dersom sporingsteknologi plasseres på sluttbrukerutstyr. Det betyr at lagring av eller uthenting av opplysninger fra en datamaskin eller telefon, som ikke er nødvendig for å levere en tjeneste, reguleres av ekomloven. Videre behandling av personopplysninger som eventuelt samles inn gjennom teknologien vil falle inn under personopplysningsloven. I praksis betyr dette at Nasjonal kommunikasjonsmyndighet har ansvar for å håndheve reglene knyttet til plassering av informasjonskapsler, mens Datatilsynet har ansvar for håndheving av etterfølgende behandling av personopplysninger.

I flere andre land i Europa er det datatilsynene som har ansvar for å håndheve bestemmelsene i kommunikasjonsvernsdirektivet, inkludert bruken av informasjonskapsler. Mens det i disse landene foreligger krav om at bruk av informasjonskapsler krever et samtykke i tråd med personopplysningsloven, har direktivet i Norge blitt gjennomført på en måte som gjør at forhåndsinnstillinger i nettleser kan ansees som et gyldig samtykke. Det betyr i praksis at det i Norge ikke foreligger et krav om samtykke i tråd med personvernforordningen for å plassere informasjonskapsler på sluttbrukerutstyr.

I 2021 var forslag til ny ekomlov ute på høring, og i den forbindelse foreslo blant annet Datatilsynet og Forbrukertilsynet at loven endres slik at bestemmelsene om informasjonskapsler samsvarer med resten av Europa, og at ansvaret for å håndheve bruk av informasjonskapsler og annen sporingsteknologi flyttes fra Nasjonal kommunikasjonsmyndighet til Datatilsynet for å sikre en helhetlig tilnærming til sporing på nett.323

Personvernkommisjonen anbefaler at ansvaret for håndheving av bruk av informasjonskapsler og lignende sporingsteknologi legges til Datatilsynet.

Personvernkommisjonen mener Regjeringen bør støtte et forslag om en kommunikasjonsvernforordning som stiller krav til bruk av sporingsteknologi som er i samsvar med personvernforordningen.

9.3.2 Kommende europeisk regulering

Det arbeides fortløpende med ny regulering på EU-nivå for å harmonisere eksisterende regelverk, samt for å sørge for at europeiske forbrukeres rettigheter ivaretas i møte med digitaliseringen. Nedenfor gjøres det kort rede for lovprosesser som er særlig relevante for forbrukeres personvern.

9.3.2.1 Digitalytelsesloven

I 2019 vedtok EU et direktiv for å gjøre det enklere for forbrukere og næringsdrivende å inngå forbrukeravtaler på tvers av medlemsstatenes landegrenser.324 Direktivet kommer til anvendelse på avtaler der forbrukeren påtar seg «at betale en pris», men også der forbrukeren avgir personopplysninger i stedet for å betale med penger. Direktivet gjennomføres i norsk lov gjennom ny lov om levering av digitale ytelser til forbrukere (digitalytelsesloven). Loven ble vedtatt av Stortinget i juni 2022, og trer i kraft 1. januar 2023. Av høringsnotatet som lå til grunn for forslaget fremkommer det at loven skal gjelde «avtaler om levering av digitale ytelser mot vederlag i forbrukerforhold».325 Videre følger det av høringsnotatet at direktivet ikke bare skal omfatte «avtaler der det ytes et tradisjonelt vederlag i form av penger, men også avtaler der vederlaget består i å oppgi visse personopplysninger, jf. artikkel 3 nr. 1.»326

9.3.2.2 Forordning om digitale ytelser og om digitale markeder

Forordningen om digitale ytelser (Digital Services Act, DSA) og forordningen om digitale markeder (Digital Markets Act, DMA) har som formål å regulere digitale plattformer av forskjellig størrelsesorden. DMA ble endelig vedtatt av Rådet 18. juli 2022. DSA er foreløpig på forslagsstadiet, men det forventes at forordningen blir endelig vedtatt i Rådet i løpet av september 2022. Begge forordningene forventes iverksatt i begynnelsen av 2024.

DSA er blant annet en oppdatering av e-handelsdirektivet, og har som et av sine hovedformål å utjevne maktubalansen mellom forbrukere og digitale tjenesteleverandører. Forordningen skal gi forbrukere bedre beskyttelse ved blant annet å sikre informasjon, tilgang på tvisteløsningsmekanismer og gjennomsiktige vilkår og betingelser, og introduserer en rekke bestemmelser knyttet til blant annet digital markedsføring og manipulasjon.327 Forordningen erstatter nasjonale regler slik at praksis blir enhetlig i hele EU. Siden forslaget til DSA ikke er formelt vedtatt enda, er det heller ikke tatt endelig stilling til om forordningen er EØS-relevant.328

Utkastet til DSA omfatter alle internettbaserte tjenesteleverandører som tilbyr tjenester innenfor EU, uavhengig av om de er basert i eller utenfor EU. Forslaget til forordning retter seg mot en rekke ulike typer plattformer på internett, fra tekniske tjenestetilbydere (ISPer), domeneregistrarer og tilbydere av webhoteller og skytjenester, til markedsplasser, store søkemotorer og sosiale medier. Det stilles ekstra strenge krav til det som i DSA defineres som veldig store søkemotorer og plattformer, det vil si de som har mer enn 45 millioner aktive månedlige brukere i EU.

Forordningsforslaget omhandler ikke direkte personopplysninger, men vil stille ytterligere krav til internettbaserte digitale tjenester. Krav som gjennomsiktighet, risikostyring, og forpliktelser rundt sporing av brukere vil kunne bidra til å styrke personvernet til forbrukere.

DMA er først og fremst rettet mot de største plattformene på internett, såkalte «portvoktere». Forordningen har som formål å styrke konkurransen i digitale markeder ved å motvirke maktubalansen mellom de største tjenesteleverandørene og mindre aktører. Det vil blant annet inkludere en kravliste som må følges av de aller største aktørene, forbud mot noen typer konkurransehemmende praksis for disse aktørene, og andre konkurransefremmende elementer.

DMA vil bare gjelde plattformselskaper med en verdi på minst 75 milliarder euro eller årlig omsetning på 7,5 milliarder euro, som tilbyr noen spesifiserte digitale tjenester (for eksempel meldingstjenester, nettlesere, sosiale medier), og som har minimum 45 millioner brukere hver måned i EU eller 10 000 profesjonelle brukere i året.

9.3.2.3 Forordning for kunstig intelligens

EU arbeider for tiden med en ny forordning for å regulere kunstig intelligens (KI). Denne forordningen vil blant annet gjelde enkelte KI-systemer som anvendes av eller brukes mot forbrukere. Forordningen forventes å tre i kraft i perioden mellom 2022 og 2024.329

Forslaget til KI-forordning har en risikobasert tilnærming, med inndeling i risikokategorier. Det er foreslått at forordningen vil forby enkelte anvendelser av kunstig intelligens som innebærer uakseptabel risiko for personers trygghet og rettigheter, samt stille strenge krav for KI-systemer som ansees som høyrisiko.330 Anvendelse av kunstig intelligens som vil kunne anses å innebære uakseptabel risiko, og som det dermed er foreslått forbud mot, inkluderer blant annet «subliminale teknikker», enkelte former for biometri, myndigheters bruk av sosial scoring og andre anvendelser som utnytter sårbarheter.

KI-forordningen er foreslått supplert med en rekke vedlegg, som vil kunne oppdateres etter hvert som teknologien utvikles og nye utfordringer oppstår. Blant annet beskriver vedlegg I hvilke former for teknologi som er foreslått omfattet av forordningens KI-begrep, mens vedlegg III beskriver hvilke anvendelser av KI-systemer som regnes som høyrisiko. Bruk som anses som høyrisiko er blant annet foreslått å være bruk av kunstig intelligens for biometrisk identifisering og kategorisering, bruk av kunstig intelligens i ansettelser og innenfor utdanning, rettsvesenet, velferdstjenester, politiarbeid, samt for grensekontrollformål.

Systemer som anses som høyrisiko er foreslått å være underlagt strenge krav før de kan plasseres på markedet, inkludert krav om risikovurderinger, krav om høy grad av sikkerhet og nøyaktighet, gjennomsiktighet og forklarbarhet, blant annet gjennom dokumentasjonskrav for å muliggjøre tilsyn. All bruk av systemer for biometrisk fjernidentifisering er foreslått å utgjøre høyrisiko. Som beskrevet i kapittel 5, kan bruk av biometrisk fjernidentifikasjon i det offentlige rom i praksis ville bli forbudt. Det vil likevel kunne være enkelte unntak for terrorbekjempelse, søken etter savnede barn, samt for å identifisere mistenkte i seriøse straffesaker.331

I sitt høringsinnspill til Europakommisjonens utkast til KI-forordning peker Kommunal- og distriktsdepartementet blant annet på at forordningen bør omfatte systemer som fører til økonomiske skadevirkninger, for å beskytte forbrukere.332 En rekke organisasjoner fra sivilsamfunnet rundt om i Europa har kritisert forslaget til KI-forordning for å ha en for snever definisjon av KI-systemer, samt at forslaget ikke introduserer rettigheter for personer som påvirkes av KI-systemer.333 Andre har påpekt at forslaget til forordning har svakheter knyttet til en for snever definisjon av skadevirkninger, samt at forslaget kun gjelder utviklere av KI-systemer, og dermed kan skape smutthull for de som anvender systemene.334 Det er også utfordringer ved at forslaget overlater et stort ansvar til internasjonale standardiseringsprosesser, som ofte er drevet fram av private næringslivsaktører som forordningen skal regulere.335

Personvernkommisjonen anbefaler at Regjeringen engasjerer seg i utformingen av forordningen for kunstig intelligens med vedlegg, og jobber for en regulering som sørger for at KI-systemer utformes på en måte som ivaretar personvernet i både utvikling og bruk av systemene.

9.3.2.4 Regulering av informasjonssikkerhet

EU er også i gang med å iverksette nye regelverk som blant annet har som formål å styrke personvern og sikkerhet i tilkoblede forbrukerprodukter. Europakommisjonen vedtok i 2021 å oppdatere Radioutstyrsdirektivet, som regulerer bruk av trådløst utstyr, til å omfatte forbrukerprodukter, blant annet med hensikt om å sikre personvernet.336 Denne lovendringen forventes å tre i kraft i 2024. Europakommisjonen har også kunngjort en ny strategi for IKT-sikkerhet, Cyber Resilience Act. Denne rettsakten har som et av sine formål å stadfeste strengere sikkerhetsregler og standarder for tilkoblede produkter.337

Personvernkommisjonen anbefaler at Regjeringen støtter Europakommisjonens forslag om en horisontal IKT-sikkerhetslov (Cyber Resilience Act).

9.4 Personvernutfordringer og konsekvenser

Ivaretakelse av personvernet er en viktig forutsetning for at den enkelte skal kunne utøve forbrukermakt og ta gode og informerte valg. Ivaretakelse av personvernet er slik sett nært knyttet til ivaretakelse av forbrukerrettigheter. I dette kapitlet fokuserer Personvernkommisjonen primært på hvordan forbrukernes personvern settes under press som følge av det digitale skiftet, og hvilke konsekvenser dette har.

Digitaliseringen av forbrukerhverdagen har bidratt til at stort sett alt forbrukerne foretar seg er gjenstand for registrering og innsamling – alt blir omgjort til data. Personopplysninger brukes til alt fra produkt- og tjenesteutvikling til analyse, markedsføring og personalisering. I mange tilfeller tilbys forbrukertjenester «gratis» fordi tjenestetilbyderen baserer sin forretningsmodell på bruk og analyse av personopplysninger – ofte med markedsføring som hovedformål. I noen tilfeller kan alternativet være at forbrukerne må betale med penger for å bruke tjenesten. Mange tjenesteleverandører har kommersiell utnyttelse av personopplysninger som en ekstra inntektsstrøm, også i tilfeller der forbrukerne har betalt for produktet eller tjenesten.

Fremveksten av denne forretningsmodellen har bidratt til et sterkt insentiv til å samle inn mest mulig informasjon om forbrukerne. Tjenestetilbydere som tjener penger på innsamling, bruk og salg av personopplysninger har en egeninteresse i at forbrukerne deler så mange personopplysninger som mulig, eller at de samtykker til datainnsamlingen og til vide formål med databehandlingen.

Utviklingen av kraftigere teknologi for innsamling, lagring og behandling av data har ført til at virksomheter kan samle inn og bruke informasjon som tidligere ikke var anvendelig på grunn av struktur og mengde. Alt fra forsikringsselskaper til tannbørsteprodusenter har enten begynt, eller intensivert, innsamlingen av kundedata.338 Denne trenden fører til innovasjon og tjenesteutvikling som kommer forbrukerne til gode, men den bidrar også til at mange selskaper opparbeider seg omfattende kunnskap og innsikt om forbrukerne og deres interesser og preferanser.

Det ligger mye makt i å ha omfattende kunnskap om og innsikt i den enkelte forbrukers vaner og interesser. For den enkelte kan det være utfordrende å ha kontroll og oversikt over hva selskapene vet og hvordan denne kunnskapen brukes. Fremveksten av forretningsmodeller basert på innsamling av personopplysninger har derfor blitt møtt med kritikk fra blant annet menneskerettighetsorganisasjoner, forbrukerorganisasjoner og akademikere. Amnesty International har for eksempel uttalt at forretningsmodellene til Alphabet og Meta utgjør en trussel for flere grunnleggende menneskerettigheter.339

9.4.1 Tingenes internett muliggjør sporing overalt

Fremveksten av tingenes internett har ført til at forbrukere kan spores i stadig større grad når de beveger seg rundt i fysiske omgivelser. Produksjonen og utviklingen av internettilkoblende produkter blir stadig billigere. Dette fører til at markedet preges av mange aktører som mangler kompetanse eller vilje til å utvikle personvernvennlige løsninger.

I Norge har Forbrukerrådet avdekket at enkelte tilkoblede leker og smartklokker for barn mangler helt grunnleggende sikkerhets- og personverntiltak. I enkelte av produktene var det blant annet mulig for utenforstående å få tilgang til, og kontroll over, produktet med enkle grep.340 Å avdekke slike mangler krever som regel høy teknisk kompetanse. En vanlig forbruker har derfor få muligheter til å kunne kontrollere om grunnleggende sikkerhets- og personvernfunksjoner er på plass i tilkoblede produkter.

En befolkningsundersøkelse gjennomført på vegne av Forbrukerrådet i 2019, viste at tre av fire forbrukere var bekymret for at tilkoblede produkter samlet inn mer informasjon enn de hadde samtykket til.341 Denne mangelen på tillit kan legge en demper på utbredelsen av verdifull teknologi, ved at forbrukere kan vegre seg for å ta produkter som kan øke livskvaliteten deres i bruk.

I USA blir det stadig vanligere at data fra for eksempel treningsarmbånd benyttes i forsikringsøyemed.342 Slik kan forbrukere med en sunn livsstil «premieres» med lavere forsikringspremier og lignende. I Norge har lignende tiltak vært brukt i bilforsikringsbransjen, hvor sensorer i bilen registrerer kjøremønster for å påvirke forsikringspremien.343 Slike løsninger kan bidra til tryggere kjøremønster eller sunnere livsstil, men skaper også nye utfordringer. For eksempel kan utviklingen føre til at de som ikke lar seg overvåke må betale mer for forsikringen, og individualiserte forsikringer kan undergrave prinsippet om risikodeling.344

Bruken av sensorer skaper også personvernutfordringer når det benyttes i butikker og kjøpesentre. Datatilsynet har kartlagt hvordan virksomheter sporer forbrukerne ved hjelp av forskjellige sensorer når de beveger seg rundt i det offentlige rom. Formålet med sporingen er i hovedsak å kartlegge atferdsmønstre for kommersielle formål.345 Det er vanskelig for den enkelte å reservere seg mot slik sporing da virksomheter ofte ikke informerer, eller informerer på en hensiktsmessig måte, om at denne teknologien benyttes.

Inntoget av tilkoblede produkter i private hjem reiser også en rekke spørsmål knyttet til innsamling av personopplysninger. Kan middagsbesøket, for eksempel, motsette seg at opplysninger om dem samles inn og behandles når samtaler fanges opp av stemmeassistenten i stua og sendes til smarthusleverandøren, samt i noen tilfeller også en rekke tredjepartsselskaper?

Det er uklart i hvilken grad importører og forhandlere av tilkoblene produkter kontrollerer eller stiller krav til produsentene for å sikre at de overholder kravene i personvernregelverket. Det er svært problematisk at norske forhandlere selger produkter som ikke ivaretar forbrukernes personvern.

Personvernkommisjonen understreker viktigheten av at utviklere og produsenter av digitale forbrukerprodukter og tjenester gjør grundige personvernkonsekvensvurderinger for forskjellige bruksscenarier, særlig med tanke på hvordan tjenester og produkter kan misbrukes.

Personvernkommisjonen anbefaler at norske importører, forhandlere og bransjeorganisasjoner har informasjon tilgjengelig om hvordan personvernet ivaretas før salg av tilkoblede produkter.

Personvernkommisjonen anbefaler at forhandlere har kontrollrutiner på plass for å sikre at produkter som selges i Norge opererer i tråd med personvernforordningen og ekomloven, og stiller krav til sine leverandører knyttet til blant annet dataminimering, formålsbegrensning og personvern som grunninnstilling. Bransjestandarder og merkeordninger kan være et viktig verktøy for å sørge for at leverandørene ivaretar slike krav.

Personvernkommisjonen anbefaler at Regjeringen har som posisjon i regelverksutvikling at forhandlere får et rettslig ansvar for manglende IKT-sikkerhet og personvern i produkter de selger.

9.4.2 Illegitim sporing og profilering

De omfattende mengdene med personopplysninger som samles inn om forbrukerne når de benytter ulike digitale tjenester, benyttes i mange tilfeller til å bygge profiler av den enkelte, eller til å sortere forbrukere i kategorier og segmenter. Profiler kan være bygget på opplysninger om demografi (kjønn, aldersgruppe), handlingsmønster (netthistorikk, lokasjonsmønster, betalingshistorikk), antagelser om personlighetstrekk («impulsiv», «forsiktig»), metadata (identifikatorer, skjermstørrelse) og mye mer.346 Profilering defineres i personvernforordningen som «enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelse».347

Profilering kan anvendes til en rekke legitime formål, for eksempel til å tilby skreddersydde tjenester som musikkanbefalinger basert på interesser og preferanser. Profilering kan imidlertid også bidra til å urettmessig forskjellsbehandle forbrukere, som ved at enkelte forbrukere får høyere priser enn andre fordi de er regnet som impulsive, eller ved at sårbarheter utnyttes for økonomisk gevinst. Slik bruk av profilering omtales nærmere i avsnitt 9.4.5 om diskriminering og manipulering.

Det eksisterer en hel bransje med aktører som livnærer seg på å samle inn personopplysninger og bygge omfattende profiler, såkalte datameglere. Datameglerbransjen henter inn informasjon om forbrukere gjennom forskjellige sporingsteknologier, samt fra andre aktører, offentlige registre, og en rekke andre kilder.348

Opplysningene som samles inn av datameglere og lignende foretak brukes hovedsakelig til markedsføringsformål. Forbrukerne kategoriseres med utgangspunkt i profilene og plasseres i segmenter som selges videre til markedsførere og annonsører som ønsker å nå bestemte målgrupper med annonser for sine produkter. Tanken er at jo mer informasjon man har om en forbruker, dess lettere vil vedkommende være å nå med relevante budskap.

Selv om innsamlingen av personopplysninger som foregår på internett i hovedsak skjer med hensikt om å målrette markedsføring, brukes informasjonen som samles inn også til andre formål. Det finnes en rekke eksempler på at datameglere har solgt informasjon til aktører som har helt andre formål.349 I en rapport fra NATOs Strategic Communications Centre of Excellence advares det om at datameglerindustrien utgjør en trussel for nasjonal sikkerhet, på grunn av mengden informasjon som samles inn om enkeltindivider.350

I Norge har blant annet Amnesty International Norge, Datatilsynet, Forbrukerrådet og Teknologirådet foreslått at det de kaller overvåkningsbasert markedsføring forbys i sin helhet.351 Organisasjonene argumenterer blant annet for at denne formen for markedsføring, som baserer seg på sporing og profilering av forbrukere, bryter med grunnleggende forbrukervern, personvern og menneskerettigheter.

En gruppe europaparlamentarikere har tatt til orde for et lignende forbud gjennom alliansen Tracking-Free Ads Coalition.352 Forbrukerrådet har også publisert et opprop for et forbud sammen med over 50 forbruker- og digitale rettighetsorganisasjoner i Europa og USA.353

I Norge har blant annet norske mediebedrifter, gjennom Mediebedriftenes Landsforening (MBL), hatt dialog med Datatilsynet knyttet til hvordan atferdsbasert markedsføring kan gjøres på en lovlig og forsvarlig måte. Mediebedriftene i MBL benytter målrettet annonsering til å finansiere fri, uavhengig journalistikk. MBL har etablert regler knyttet til atferdsbasert markedsføring. Blant annet har mediebedriftene i MBL innført et selvpålagt forbud mot å benytte personopplysninger som gjelder barn og særlige kategorier av personopplysninger. Det er også inntatt begrensinger knyttet til bruk av detaljerte lokasjonsdata og fastsatt begrensede lagringstider. Mediebedriftene kan kun benytte egne såkalte førstepartsdata til markedsføringsformål og det er ikke lov for tredjepartsaktører å samle inn opplysninger om brukerne til å bygge og berike sine egne profiler. Dette forbudet følges opp gjennom juridisk og teknisk revisjon av tredjepartene.354

Personvernkommisjonen anser at store deler av det digitale annonsesystemet i dag er ute av kontroll, hvor en betydelig innsamling og deling av personopplysninger til potensielt tusenvis av selskaper skjer i sanntid hver eneste dag. Disse opplysningene brukes blant annet til å lage digitale profiler, som igjen kan brukes til å målrette budskap, til og med mot mennesker i sårbare livssituasjoner. Dette fører til diskriminering, manipulasjon, at privat informasjon kommer på avveie, sikkerhetsutfordringer, nedkjølingseffekter og mer.

Europaparlamentet har foreslått å forby atferdsbasert markedsføring mot barn som en del av forordningen om digitale tjenester (DSA), samt å forby bruken av særlige kategorier av personopplysninger til markedsføringsformål.355

I Norge har Regjeringen støttet forbudet mot atferdsbasert markedsføring rettet mot barn som er foreslått som en del av DSA. Dette begrunnes med at barn og unge er en sårbar gruppe med særlig behov for beskyttelse.356

Personvernkommisjonen deler Regjeringens syn på at atferdsbasert markedsføring mot barn bør forbys. Kommisjonen støtter også at bruken av særlige kategorier av personopplysninger til markedsføringsformål forbys. Forbudet bør også gjelde særlige kategorier av personopplysninger som er utledet fra data som ikke var sensitive ved innsamlingspunktet, for eksempel lokasjonsdata som sammenstilt kan avdekke politisk eller religiøs tilhørighet.

Personvernkommisjonen anbefaler at ved et forbud mot atferdsbasert markedsføring som kun gjelder barn, må tjenesteleverandører pålegges et føre var-prinsipp. Det er ikke ønskelig med løsninger som fører til økt sporing og profilering for å kartlegge forbrukeres identitet og alder. Personvernkommisjonen anbefaler videre at ikke bare atferdsbasert markedsføring mot barn forbys, men også at bruk av barns personopplysninger til atferdsbasert markedsføring bør forbys. Barns personopplysninger bør ikke anvendes til atferdsbasert markedsføring, selv om markedsføringen ikke rettes mot barn.

Personvernkommisjonen har delt seg i et flertall og et mindretall i spørsmålet om et generelt forbud mot atferdsbasert markedsføring bør utredes.

Personvernkommisjonens flertall, medlemmene Busch, Grande, Haugli, Hertzberg, Høyer, Myrstad, Schartum, Veum, Ytre-Arne og Aasberg, ønsker å fremheve at atferdsbasert markedsføring også kan være skadelig for befolkningen for øvrig. Av den grunn mener kommisjonens flertall at det bør utredes hvorvidt et generelt forbud er nødvendig for å beskytte norske og europeiske forbrukere. En slik utredning bør se på hvilke positive og negative konsekvenser et slikt forbud vil ha i Norge og i Europa, blant annet for medieindustrien. Digital markedsføring er i dag en vesentlig kilde til å finansiere fri, uavhengig journalistikk.

Dissens fra kommisjonsmedlemmene Moen og Næss:

Personvernkommisjonens mindretall, medlemmene Moen og Næss anser at atferdsbasert annonsering kan gjøres på ulike måter – forsvarlig og uforsvarlig. Medlemmene Moen og Næss mener at så lenge atferdsbasert markedsføring gjøres forsvarlig vil et generelt forbud være uforholdsmessig. Moen og Næss støtter derfor ikke flertallets forslag om at det bør utredes hvorvidt et generelt forbud er nødvendig.

Moen og Næss ser med uro på et eventuelt forbud mot atferdsbasert annonsering generelt. Et generelt forbud mot atferdsbasert markedsføring vil i praksis ramme mediene hardt, og ramme en helt avgjørende finansieringskilde for å sikre at kvalitetsjournalistikk er tilgjengelig for flest mulig. Moen og Næss mener det er fullt mulig, og nødvendig, å ha en ansvarlig tilnærming til bruk av data i annonsemarkedet – og at et totalforbud rammer både aktører med et mer omtrentlig forhold til personvern og aktører som tar sitt ansvar på dypeste alvor.

Moen og Næss anser videre at det er utfordringer knyttet til hvordan man definerer atferdsbasert markedsføring. For at et forbud skal være rimelig, og også mulig å etterleve og håndheve, er det avgjørende at et forbud er klart definert. Et forslag om et generelt forbud mot atferdsbasert annonsering innebærer etter Moen og Næss sitt syn en forenkling. Det er avgjørende å regulere det som reelt sett er den største personvernrisikoen; datainnsamling på tvers av internett på en måte som er helt ugjennomsiktig og ukontrollerbar for brukerne.

Det er åpenbart ikke i forbrukernes interesse at nyhetsmediene svekkes. Moen og Næss mener at et eventuelt forbud mot atferdsbasert annonsering heller ikke er i forbrukernes interesse om man ser bort fra dette. I dag kan man knapt tenke seg et internett uten sorteringsmekanismer. Den grenseløse mengden informasjon som internett gir tilgang til blir ikke nyttig om den ikke kan sorteres og prioriteres. Dette er noe av kjernen i alle de fordelene internett og de sosiale nettverkene gir.

Moen og Næss støtter i likhet med flertallet et forbud mot bruk av data om barn og særlige kategorier data. I tillegg mener Moen og Næss at innsamling og bruk av data for å bygge og berike profiler på tvers av ulike behandlingsansvarlige er vanskelig for forbrukere å forstå og kontrollere. Et forbud mot slik bruk av tredjepartsdata bør utredes.

9.4.3 Manipulerende design

Manipulerende design er et samlebegrep om brukerdesign og grensesnitt som er laget for å lede forbrukerne til å ta valg som er i tjenesteleverandørens interesse, ofte på bekostning av forbrukerens egne interesser.357 Det innebærer for eksempel at det som regel er mye lettere å tegne et abonnement enn å si det opp, eller at man blir lurt til å gi fra seg personopplysninger gjennom tungvinte eller forvirrende personverninnstillinger.358 En studie gjennomført på vegne av Europakommisjonen i 2022, fant at 97 prosent av de 75 mest populære nettsidene og appene i Europa anvendte en eller flere typer manipulerende design. I en rapport skrevet av Forbrukerrådet fremkommer det at de globale teknologiselskapene dytter forbrukerne mot deling av personopplysninger gjennom bruk av «standardinnstillinger, utspekulerte designgrep, forvirrende oppsett og liksom-valg».359^,360

Standardinnstillinger er et kraftig verktøy for å få brukerne til å ta bestemte valg. Dersom standardinnstillingen er satt til å dele mest mulig personopplysninger, er mange forbrukere tilbøyelige til å la innstillingene være i fred, selv om det kan påvirke deres personvern negativt. I 2018 klaget Forbrukerrådet inn Alphabet (Google) til Datatilsynet for brudd på personvernforordningen på grunn av hvordan personverninnstillingene for lokasjonssporing var designet. Ifølge Forbrukerrådet hadde Alphabet designet disse innstillingene på en bevisst villedende måte, som var egnet til å få forbrukerne til å dele mest mulig opplysninger med selskapet.361

Bruken av manipulerende design er særlig problematisk i et personvernperspektiv fordi det undergraver samtykkekravet i personvernregelverket. Dersom tjenesteleverandører kan utforme samtykkemekanismer slik at forbrukere villedes til å samtykke til noe de ellers ikke ville samtykket til, kan man ikke snakke om et reelt og lovlig samtykke.

Det finnes regler mot villedende markedsføring i markedsføringsloven, og det er til dels overlappende krav til åpenhet og transparens i forbrukerlovgivningen og personvernregelverket med hensyn til hvordan forbrukerne skal informeres.362 Samtidig er det vanskelige grensedragninger mellom hva som er manipulerende, villedende, eller overtalende design og språkbruk, og hva som ikke er det. Det kan være forskjellige forventninger fra forbrukers side om hva som er ønsket eller uønsket bruk av personopplysninger, noe som også kompliserer bildet. I Nederland har det nasjonale forbruker- og konkurransetilsynet publisert en veileder for digitale tjenesteleverandører, som har til hensikt å tydeliggjøre disse grensedragningene.363

Europaparlamentet har uttrykt et ønske om å forby bruken av manipulerende design i sin forhandlingsposisjon til den kommende forordningen om digitale tjenester (DSA).364

Personvernkommisjonen mener et forbud mot manipulerende design, som foreslått i DSA, vil styrke forbrukeres muligheter til å ivareta eget personvern på nett. Et slikt forbud bør kompletteres med håndheving av gjeldende forbrukerregelverk, samt med veiledere fra tilsynsmyndighetene som tydeliggjør grensedragningen mellom hva som vurderes som henholdsvis akseptabel og uakseptabel bruk av design. Et slikt forslag bør forankres og sikres gjennom EU-samarbeidet.

9.4.4 Informasjonsasymmetri

Behandling av personopplysninger innebærer ofte både kompliserte juridiske vurderinger og avtaler, samt avansert teknologi og uoversiktlige aktørbilder. I mange tilfeller vet ikke forbrukerne at personopplysninger behandles, hvem som behandler opplysningene, eller hva konsekvensene av behandlingen kan være. I tilfeller hvor personopplysninger deles videre med tredjepartsaktører – som for eksempel datameglere – er mange forbrukere ikke en gang klar over at selskapene som mottar personopplysninger eksisterer. Dette utgjør en form for informasjonsasymmetri, hvor selskaper vet mye om den enkelte forbruker, mens forbrukerne vet lite om selskapene og hvordan personopplysningene deres brukes.365

I et forbrukerperspektiv er det et grunnleggende problem at forbrukerne ikke har tilstrekkelig informasjon til å bedømme kvaliteten på det produktet de ønsker å kjøpe. I en kjøp- og salg-situasjon er ofte tilgangen til informasjon skjevt fordelt – selgeren vet mer om pris og kvalitet enn forbrukeren har mulighet til å vite. Når det gjelder behandling av personopplysninger, betyr informasjonsasymmetrien at det ofte er umulig for forbrukerne å ta et informert valg. For eksempel vil ikke en forbruker være i stand til å gjøre en informert beslutning om å dele data dersom vedkommende ikke forstår hvordan personopplysningene anvendes.

Mangel på åpenhet og informasjon skaper også utfordringer knyttet til forbrukernes mulighet til å ta i bruk sine lovfestede rettigheter, særlig i møte med store internasjonale selskaper. Selskapene kan ha begrenset nasjonal tilstedeværelse, ingen direkte kontaktpunkter forbrukerne kan benytte seg av og det kan generelt være vanskelig å få selskapene i tale. Selskapenes internasjonale karakter kan også medføre at det er et begrenset nasjonalt handlingsrom til å ta tak i utfordringer rundt informasjonsasymmetri.

Personvernkommisjonen ser derfor at forebygging av problemstillinger knyttet til informasjonssymmetri forutsetter internasjonalt samarbeid, særlig gjennom europeiske institusjoner.

9.4.4.1 Personvernerklæringer har ofte liten praktisk verdi for forbrukerne

Tilstrekkelig og korrekt informasjon er grunnlaget for at forbrukeren kan ta opplyste valg og inngå avtaler. Når en virksomhet behandler personopplysninger, skal den gi informasjon til de berørte. Personvernregelverkets krav knyttet til informasjon og åpenhet er omtalt i kapittel 4. Selv om virksomheter er pliktig til gi informasjon, er det likevel ofte slik at informasjonen forbrukerne har krav på ikke er tilgjengelig, er umulig å forstå, eller gjemmes bort.

Virksomheter kan gi informasjon til de berørte i en personvernerklæring. Personvernregelverket inneholder krav om at informasjonen skal gis på en kortfattet, åpen, forståelig og lett tilgjengelig måte. Språket skal være klart og enkelt, særlig når informasjonen er spesifikt rettet mot barn.366 Til tross for at det er satt tydelige krav til hvordan informasjon til de berørte skal gis, er fremdeles forekomsten av lange, omstendelige og vanskelig tilgjengelige personvernerklæringer høy. Forbrukerrådet har kartlagt utfordringer knyttet til informasjon og transparens i samarbeid med forbrukerorganisasjoner i andre land.367

Dersom forbrukerne skal kunne nyttiggjøre seg av informasjonen og tilpasse sin atferd for å sikre eget personvern, er det avgjørende at virksomheter utarbeider gode og brukervennlige løsninger.

En rekke studier som har vært gjennomført viser at så godt som ingen forbrukere leser personvernerklæringer.368^,369 En studie fra 2009 anslo at det ville tatt 244 timer i året å lese alle personvernerklæringer en gjennomsnittsforbruker møter i hverdagen – et tall som trolig har vokst kraftig siden studien ble gjennomført.370 Slik mange personvernerklæringer er utformet i dag har de altså som regel liten eller ingen nytteverdi for forbrukere.

9.4.4.2 Vanskelig å benytte seg av rettigheter

Den utstrakte innsamlingen og delingen av personopplysninger skaper også utfordringer knyttet til forbrukernes utøvelse av sine grunnleggende rettigheter. Som beskrevet i kapittel 4, gir personvernregelverket de registrerte rettigheter knyttet til blant annet innsyn, retting og sletting av egne personopplysninger. Det blir i praksis umulig å utøve disse rettighetene dersom man ikke vet hvilke personopplysninger som samles inn, og spesielt dersom man ikke vet at aktørene som behandler opplysningene eksisterer. Slik fører informasjonsasymmetrien også til en betydelig mangel på kontroll over egne personopplysninger.

Selv om forbrukerne får tilstrekkelig og forståelig informasjon om hvordan personopplysningene behandles, vil ikke informasjonen nødvendigvis gi forbrukerne innsikt i hvilke konsekvenser innsamlingen og eventuelt viderebehandlingen av opplysningene vil ha for deres personvern. Det er for eksempel vanskelig for forbrukerne å overskue hvilke konsekvenser det har for deres personvern at personopplysningene deres deles med, og viderebehandles av, flere titalls tredjepartsselskaper når de besøker en nettside.

Enkelte tjenesteleverandører tilbyr tilgangs- og gjennomsiktighetsverktøy («transparency tools») hvor forbrukerne kan finne informasjon om databehandlingen, eller om hvorfor de blir vist en bestemt annonse. Slike verktøy kan være nyttige og bidra til å holde tjenesteleverandørene ansvarlige for behandlingen av personopplysninger.

Hvis slike verktøy skal ha reell nytteverdi, må imidlertid informasjonen som gis være korrekt, uttømmende, detaljert og kommunisert på en forståelig måte, samt kunne verifiseres av tredjeparter.371 Verktøyene bør for eksempel ikke informere kun om hvilke personopplysninger som samles inn om forbrukerne, men også gi informasjon om hvordan opplysningene eventuelt sammenstilles, hvilke personopplysninger som utledes ved hjelp av analyseverktøy, samt hvordan opplysningene viderebehandles og hvilke konsekvenser dette kan ha. Et gjennomsiktighetsverktøy, som forklarer hvorfor en forbruker ser en bestemt annonse ved å gi generell informasjon (kjønn, aldersspenn), vil for eksempel være av begrenset verdi dersom de faktiske målrettingskriteriene er mer granulerte (nøyaktig lokasjon, nettleserhistorikk, utledet informasjon). Teknologi for å fremme personvern er drøftet i kapittel 11.

Personvernkommisjonen mener verktøy for å tilgjengeliggjøre informasjon om hvilke personopplysninger som samles inn og hva de brukes til er nyttige for forbrukerne, journalister, tilsyn og lignende, og kan bidra til å holde næringsdrivende ansvarlige ved å synliggjøre problematisk praksis. Kommisjonen understreker imidlertid at den omfattende kommersielle innsamlingen, behandlingen og delingen av personopplysninger som har blitt normalisert i den digitale forbrukerhverdagen ikke kan løses kun gjennom å gi forbrukerne mer informasjon.

9.4.5 Diskriminering og manipulering

Den utstrakte innsamlingen av personopplysninger bidrar blant annet til at forbrukerne plasseres i forskjellige kategorier og segmenter. Dette kan for eksempel være nyttig ved at lignende brukere får anbefalt samme innhold, som i en anbefalingsalgoritme hos en strømmetjeneste. Samtidig oppstår det en rekke utfordringer dersom personopplysninger brukes for å forskjellsbehandle forbrukerne.

9.4.5.1 Påvirkning av sårbare grupper

En rekke digitale rettighetsorganisasjoner har avdekket hvordan datameglere kategoriserer forbrukerne i tusenvis av ulike segmenter basert på informasjon utledet fra analyse av omfattende mengder med personopplysninger.372 Mange av segmentene er gjenkjennelige fra tradisjonell markedsføring (for eksempel mann 50+, interessert i engelsk fotball), og er i utgangspunktet relativt uproblematiske. Muligheten til å utlede detaljert kunnskap om enkeltforbrukere basert på innsamlede personopplysninger, har imidlertid ført til at det lages svært finmaskede segmenter om forbrukerne, av og til også basert på særlige kategorier av opplysninger. Det lages for eksempel segmenter basert på opplysninger om sykdom, religion, livsendringer (for eksempel dødsfall i familien eller nybakt forelder), og mye mer.

En rekke eksempler fra andre land har vist hvordan innsamlede personopplysninger har blitt brukt til å nå sårbare grupper i samfunnet med mårettede budskap. For eksempel har selskaper i finanssektoren i USA og Australia møtt kritikk for å ha målrettet markedsføring for forbrukslån mot økonomisk sårbare forbrukere, noe som kan ha bidratt til å forverre den økonomiske situasjonen deres ytterligere.373 I Storbritannia har det blitt avslørt hvordan nettkasinoer og bettingselskaper bruker personopplysninger for å nå ut til forbrukere med spilleproblemer.374

Denne formen for målretting brukes ikke bare av kommersielle aktører. Politiske partier er også flittige brukere av atferdsbasert markedsføring.

Annonsesystemet til Facebook er kritisert for at det tillater målretting av budskap mot sårbare grupper. Det mest kjente eksemplet på dette var den såkalte Cambridge Analytica-skandalen, hvor dataselskapet Cambridge Analytica høstet brukerdata fra Facebook for å målrette politiske budskap blant annet basert på personlige sårbarheter hos Facebooks brukere.375 Facebook har også møtt kritikk for at anbefalingsalgoritmene på plattformen anbefalte og tilrettela for målretting av desinformasjon om vaksiner i forbindelse med covid-pandemien.376

I mars 2022 annonserte Europakommisjonen at de vil foreta en gjennomgang av flere sentrale forbrukerverndirektiver. Den kommende gjennomgangen av forbrukervernregelverkene er en viktig mulighet for EU- og EØS-medlemslandene til å foreslå nye og effektive tiltak for å redusere dagens forbrukersårbarhet.

Personvernkommisjonen anbefaler at det stilles strenge informasjons- og åpenhetskrav til hvordan forbrukerne profileres og segmenteres ved målretting av annonser og politiske budskap. Det innebærer at næringsdrivende, organisasjoner og politiske partier er åpne om hvilke budskap de sender ut, og hvem de forsøker å nå med budskapene. Plattformer som tilrettelegger for segmentering og profilering av forbrukerne bør også tilby verktøy for å vise hvilke annonser som vises på plattformen, og hvilke segmenter de bruker. Åpenhet er nødvendig for å avdekke urimelig eller skadelig påvirkning. Regjeringen bør arbeide for å få på plass slike krav gjennom EU.

9.4.5.2 Urettmessig forskjellsbehandling og diskriminering

Personopplysninger kan samles inn og brukes til å urettmessig forskjellsbehandle eller diskriminere enkeltpersoner eller grupper av mennesker. Personopplysninger kan sammenstilles for å lage forbrukersegmenter, for eksempel basert på økonomisk situasjon og betalingsevne. Aviser og rettighetsorganisasjoner har avdekket at informasjon om blant annet betalingsevne, brukes til å selge den samme tjenesten til ulik pris.377 Dette kan føre til at forbrukere med dårlig råd får mulighet til å kjøpe produkter og tjenester til en rimeligere pris, men det kan også brukes til å skape et A og et B-lag av forbrukerne basert på differensierende faktorer forbrukerne ikke har innsyn i eller kjenner til.

Som beskrevet i kapittel 5, kan det være svært utfordrende å avdekke om systemer basert på maskinlæring har skjevheter som fører til diskriminering. Skjevhetene skyldes feilkilder, lite representativt utvalg av data, ukorrekte data eller feil i selve systemet, eller fordi systemet brukes feil. Dersom en forbruker plasseres i feil kategori som følge av skjevheter i systemet, kan dette medføre at vedkommende utelukkes fra tjenester de egentlig har rett på, for eksempel ved en kredittvurdering. Diskriminering kan også skje dersom maskinlæringssystemet er basert på feilaktig grunnlag eller trent opp på skjevt datagrunnlag.

Personvernkommisjonen anbefaler at virksomheter som bruker maskinlæringssystemer for å profilere og segmentere forbrukerne bør rapportere hvordan de motvirker diskriminerende effekter i systemene. Offentlige myndigheter bør stille krav om slik rapportering ved anskaffelser og bevilgning av midler. Regjeringen bør arbeide for at slike krav blir en del av den kommende forordningen for kunstig intelligens med vedlegg.

9.4.5.3 Oljefondet som investor i teknologigigantene

Den norske stat er en betydelig investor i samtlige av de største teknologiselskapene gjennom Oljefondet. Fondet har i 2022 en aksjeandel på 0.85 prosent i Alphabet, 1.01 prosent i Meta, 0.81 prosent i Amazon, 0.84 prosent i Apple, og 0.95 prosent i Microsoft.378

Som en del av sitt mål om god og samfunnsansvarlig selskapsstyring, har Oljefondet publisert en rekke forventningsdokumenter hvor det stilles forventningskrav for ansvarlig og etisk virksomhet i selskaper fondet investerer i. Det inkluderer forventninger til bærekraft og klima, antikorrupsjon og menneskerettigheter.379 Så vidt Personvernkommisjonen er bekjent, inneholder ingen av dokumentene forventninger knyttet til digitale rettigheter, personvern eller algoritmisk diskriminering, på tross av de betydelige investeringene i teknologigigantene. Dette synes heller ikke å være evalueringskriterier i Etikkrådets vurderinger av investeringer.

Personvernkommisjonen anbefaler at det stilles krav til ivaretakelse av personvernet, i likhet med krav som stilles til ivaretakelse av andre grunnleggende menneskerettigheter, når Oljefondet investerer i teknologiselskaper. Oljefondets forventningsdokumenter bør inkludere klare krav som fremmer åpenhet, etterrettelighet og etterlevelse av personvernrettigheter. Dette vil kunne bidra til å gjøre manglende beskyttelse av personvern til en investeringsrisiko.

Personvernkommisjonen anbefaler at Oljefondet avstår fra å investere i selskaper som krenker personvernet, og som det ikke har mulighet til å påvirke, for eksempel på grunn av majoritetseiere.

9.4.6 Svikt i markedet

Digitaliseringen av forbrukertjenester, der personopplysninger inngår som en sentral råvare, har ført til at det i dag er er viktig å se konkurranse-, forbruker- og personvernlovgivningen i sammenheng. Dette er avgjørende for å kunne ivareta forbrukernes rettigheter på en effektiv og helhetlig måte.380

I tradisjonelle, velfungerende markeder kan forbrukerne ofte bruke sin forbrukermakt til å påvirke næringsaktørers opptreden. Dersom man ikke er fornøyd med et produkt eller selskapets praksis, kan man gå til en konkurrent. Dette er ikke nødvendigvis overførbart til mange digitale forbrukermarkeder.

Brudd på personvernet skiller seg fra mer tradisjonelle skadevirkninger i at den som er rammet av bruddet ikke nødvendigvis er klar over at dette har skjedd. Det er for eksempel vanskelig for en kunde å avdekke at man har blitt utsatt for urettmessig forskjellsbehandling som følge av at gale opplysninger har blitt lagt til grunn og at man derfor har blitt plassert i en forbrukerkategori som hindrer en tilgang til en tjeneste man ellers hadde hatt krav på. Med jevne mellomrom dukker det opp personvernskandaler som får mye oppmerksomhet i media. Disse skandalene omfatter ofte tjenester forbrukerne er avhengige av (for eksempel Facebook), eller tredjepartstjenester som forbruker ikke har noe direkte forhold til. I førstnevnte tilfelle finnes det ofte ingen alternative tjenester å bytte til dersom forbrukeren er misfornøyd med hvordan selskapet ivaretar personvernet. I sistnevnte tilfelle finnes det ikke et kundeforhold de kan bryte. Dette kan betegnes som en markedssvikt – forbrukerne kan i mange tilfeller ikke bruke sin forbrukermakt til å «straffe» selskaper som ikke tar personvern på alvor.

9.4.6.1 De store teknologiselskapenes dominans

Dataøkonomien har bidratt til maktkonsentrasjon i flere digitale markeder. Noen få globale aktører har tilnærmet monopol på blant annet sosiale medier, søkemotorer og annonseplattformer. Dette er utfordrende for konkurransesituasjonen. Manglende konkurranse kan føre til høyere priser, mindre innovasjon og dårligere kvalitet for forbrukerne. I den digitale hverdagen vil dette ofte føre til dårligere personvern, fordi de største aktørene ikke trenger å konkurrere om å ivareta personvernet.

De største teknologiselskapene har opparbeidet seg dominerende markedsposisjoner blant annet gjennom akkumulering av data. Datainnsamlingen har bidratt til utvikling og forbedring av tjenester. Dette har skapt en selvforsterkende effekt der de største stadig blir større. Samtidig har teknologigigantene i mange tilfeller kjøpt opp konkurrerende tjenester, eller populære tjenester i tilgrensende markeder. Oppkjøp av tjenester fører til økt tilstrømning av brukere, og med dette økt tilgang til personopplysninger.

Når noen få enkeltselskaper får en dominerende stilling i viktige segmenter, kan disse selskapene også sette premisser for eventuelle konkurrenter. For eksempel bestemmer Alphabet og Apple vilkårene for hvilke aktører som får tilgang til app-butikkene deres. Dette kan medføre en viss kvalitetskontroll, men gir også selskapene stor makt, da de opptrer som portvoktere til viktige markedsplasser og bestemmer hvem som får slippe til.

De store plattformselskapene setter også premissene for hvordan personvernet ivaretas på plattformene sine, ved at de bestemmer hvilke muligheter tredjeparter har til å samle inn personopplysninger, og hvordan forbrukere eventuelt kan begrense innsamlingen. Det kan være et demokratisk problem at et knippe store globale selskaper har fått denne typen definisjonsmakt over ivaretakelsen av forbrukernes personvern.

Den utstrakte innsamlingen og analysen av personopplysninger kan også føre til høyere priser og dårligere utvalg av produkter. Et eksempel er Amazon – et av plattformselskapene som også produserer egne produkter, og selger dem på plattformen sin i konkurranse med tredjepartsselgere. Amazon bruker opplysninger om sine brukere – både næringsdrivende og forbrukere – til å identifisere produktgrupper av høy interesse. Denne innsikten bruker selskapet videre til å bestemme hvilke egenproduserte produkter de bør satse på. På bakgrunn av dette, har plattformgiganten høstet kritikk for å misbruke markedsmakten sin for å oppnå urimelige konkurransefordeler ved å prise ut konkurrentene på sin egen plattform.381

Alphabet har blitt bøtelagt av Europakommisjonen for å ha anbefalt forbrukerne sin egen handelsplattform på bekostning av konkurrentenes plattformer. Dette har vært mulig fordi Alphabet eier verdens største søkemotor.382 Slik dataøkonomien fungerer i dag kan den føre til svekket innovasjon og økte priser ved å gjøre det vanskelig for andre, og nye, aktører å slippe inn på markedet.

De største plattformene karakteriseres også av å eie flere tjenester på tvers av markeder. Amazon er for eksempel en stor aktør på blant annet netthandel, strømmetjenester, skytjenester og infrastruktur. Dersom en plattform allerede har et stort antall brukere, kan dette senke etableringskostnadene i nye markeder betraktelig. Det kan skape utfordringer for norske aktører dersom globale plattformer inntar det norske markedet, og bruker sin eksisterende brukermasse til å overta store deler av kundegrunnlaget.

I 2019 trådte det reviderte betalingstjenestedirektivet (PSD 2) i kraft i Norge. Dette direktivet endret blant annet definisjonen av betalingstjeneste til å også inkludere andre aktører enn banker.383 Det er forespeilet at PSD 2 vil utvide markedet for betalingstjenester, og at teknologigigantene vil lansere egne betalingstjenester for å konkurrere med bankene. Datatilsynets personvernundersøkelse 2019/2020 viste imidlertid at norske forbrukere i stor grad mener det er problematisk for personvernet sitt å gi Alphabet og Meta tilgang på sine finansielle opplysninger i banken for å tilby nyttige banktjenester.384

Som beskrevet i avsnitt 9.3.2, arbeides det i EU for å få på plass nye regler for å begrense maktkonsentrasjonen i det digitale tjenestemarkedet. De største teknologiselskapene, eller portvokterne, vil måtte forholde seg til strengere krav i den kommende forordningen om digitale markeder (DMA).385 Rettsakten vil lovfeste forbud mot en rekke konkurransehemmende aktiviteter. Dette inkluderer krav om å la forbrukere bytte eller melde seg ut av tjenester, samt et forbud mot å kombinere brukerdata på tvers av tjenester. Det er forespeilet at Europakommisjonen vil etablere en egen intern enhet som kan føre tilsyn med portvokterne, eller bidra i nasjonale tilsynssaker.

Personvernkommisjonen anbefaler at Norge tar initiativ til, og leder, et internasjonalt arbeid for å utrede hvordan virkemidler i konkurranseloven kan anvendes for å forhindre negative personvernkonsekvenser ved oppkjøp og fusjoner. Utredningen må vurdere om konkurranseloven er innrettet slik at den kan håndtere utfordringene i dataøkonomien på en effektiv måte. Dette må også sees i forbindelse med innføringen av nye konkurranseverktøy under den kommende forordningen om digitale markeder (DMA).

9.4.6.2 Innelåsning

Mange digitale tjenester er preget av problematiske innelåsingseffekter som gjør det vanskelig for forbrukerne å utøve forbrukermakt ved å bytte tjenester. Slike mekanismer kan være både tekniske, praktiske, økonomiske, eller de kan inngå i avtalevilkår. Tekniske innelåsingsmekanismer kan for eksempel være at man ikke har mulighet til å bruke tilkoblede produkter fra forskjellige leverandører sammen. Dette fører til at man føler seg låst til å fortsette å kjøpe produkter fra samme produsent.

Eksempler på innelåsende vilkår er lange bindingstider og høye gebyrer for å avslutte abonnementer, lange oppsigelsestider eller krav om at oppsigelse må skje på visse måter. Det kan også innebære bruk av manipulerende design som gjør det vanskelig å finne ut hvordan man sier opp en tjeneste.386 Tjenesteleverandører har gjerne et økonomisk insentiv til å låse inn forbrukerne. Det er fordi dette både bidrar til at kunder blir værende, og at det kan føre til mersalg dersom man er låst inne i leverandørens økosystem.

Eksempelvis kan man forestille seg at en ny aktør bestemmer seg for å lansere et alternativ til Facebook, med en uttalt målsetning om å samle inn minst mulig personopplysninger, samtidig som tjenesten tilrettelegger for deling av innhold og sosial kontakt på en måte som minner om Facebooks tjenester. Nettverkseffekter (se beskrivelse i faktaboks) fører til svært høye oppstartskostnader, fordi de færreste ønsker å være på et sosialt medium med nesten ingen andre brukere. Dersom det ikke er på plass tekniske løsninger for å kommunisere med brukere utenfor plattformen, eller flytte innholdet sitt over til konkurrenten, blir forbrukerne i praksis innelåst. Byttekostnaden blir for høy for de fleste forbrukere.

Innelåsingseffekter kan forsterkes ved at forbrukerne blir vant til å bruke bestemte grensesnitt. Dette fører til at byttekostnadene blir høye fordi man må lære seg et nytt system dersom man bytter leverandør. For eksempel kan bruken av enkelte tjenesteleverandører i skolen føre til at elever blir låst til disse leverandørene senere i livet. Tjenesteleverandører kan dermed oppnå langsiktige kundeforhold ved å levere tjenester til skolevesenet, som diskutert i kapittel 8.

9.4.6.3 Manglende teknisk interoperabilitet og dataportabilitet

Innelåsing og problematiske nettverkseffekter kan blant annet imøtegås ved å implementere løsninger og standarder for teknisk interoperabilitet og dataportabilitet.387 Teknisk interoperabilitet betyr at tjenester kan «snakke sammen» på tvers, uavhengig av hvilken tjenesteleverandør man bruker. For eksempel kan Telenorkunder ringe og sende meldinger til Teliakunder fordi telenettverkene er interoperatible. Dette er i liten grad tilfelle i digitale forbrukertjenester. Dersom man vil sende meldinger til noen som bruker Facebook Messenger må man selv også ha en Facebook-profil. Det er ikke mulig å bruke en konkurrerende tjeneste uten at vedkommende man vil sende en melding til også bytter tjeneste. Dette fører til byttekostnader som kan hemme konkurransen, og gjør det vanskeligere for personvernvennlige utfordrertjenester å entre markedet.

Mangel på portabilitet kan også bidra til uforholdsmessige store byttekostnader. I telekomsektoren i Norge har man nummerportabilitet. Det innebærer at kunder kan beholde telefonnummeret sitt dersom de bytter leverandør. Dersom man som kunde måtte bytte telefonnummer ved bytte av leverandør, ville byttekostnadene ved å tegne nytt abonnement vært uforholdsmessig høye.

Retten til dataportabilitet er hjemlet i personvernforordningen artikkel 20. Rettigheten innebærer at den registrerte kan kreve å få utlevert opplysninger om seg selv i et strukturert, vanlig og maskinlesbart format. Formålet er at den registrerte skal kunne ha mulighet til å flytte personopplysningene sine til andre tilbydere. Det er i hovedsak opplysninger som forbrukeren selv har gitt til den behandlingsansvarlige som er omfattet av retten til dataportabilitet.

Dataportabilitet skal i utgangspunktet bidra til at den registrerte får mer kontroll over personopplysningene sine.

For å være en praktisk anvendelig rettighet er det imidlertid viktig at dataportabilitet kombineres med teknisk interoperabilitet. Det har lite nytteverdi å kunne flytte e-postene sine ut av en e-posttjeneste dersom man ikke kan importere disse til en annen e-posttjeneste. Derfor er det avgjørende at det finnes felles tekniske standarder som bidrar til interoperabilitet. Forordningen om digitale markeder (DMA) vil stille krav til portvoktere om å tilby verktøy for å tilrettelegge for slik interoperabilitet.388

Den digitale forbrukerhverdagen kunne sett svært annerledes ut dersom flere tjenesteleverandører praktiserte portabilitet og teknisk interoperabilitet. Dersom man kunne kommunisere med hverandre på tvers av meldingstjenester, ville byttekostnaden vært lav nok til at forbrukere som er opptatt av personvern ville kunne velge et personvernvennlig alternativ, uten å måtte overbevise venner og familie om å bytte. Det ville bidratt til at personvern ble en konkurransefaktor, ved at misfornøyde forbrukere kunne bytte leverandør uten å gi avkall på nødvendige tjenester. Dermed ville nettverkseffektene svekkes i personvernets favør.

Personvernkommisjonen mener offentlige myndigheter bør stimulere til utvikling av løsninger og standarder for dataportabilitet og teknisk interoperabilitet. Forekomsten av slike løsninger er en forutsetning for sunn konkurranse i mange digitale vare- og tjenestemarkeder.

9.4.6.4 Personvern ikke en konkurransefordel

Norske myndigheter har i flere stortingsmeldinger og strategier uttrykt at personvern bør være en konkurransefordel. Dersom tjenestetilbydere anser det som et konkurransefortrinn å utvikle personvernvennlige løsninger, vil det stimulere til innovasjon i personvernets favør. Imidlertid kan personvern i mange tilfeller oppleves som konkurransehemmende. Aktører som samler inn og behandler personopplysninger i utstrakt grad – uten å sørge for et godt personvern – kan oppnå konkurransefordeler ved å ha tilgang på større mengder data enn sine konkurrenter, samt ved å unngå kostnader forbundet med å etablere personvernrutiner og lignende.

For eksempel samler norske medievirksomheter som regel kun inn opplysninger om brukerne på sine egne digitale flater. Store globale plattformaktører, som Google og Facebook, samler inn personopplysninger fra en lang rekke forskjellige nettsteder som har implementert sporingsteknologi fra selskapene. Opplysningene som samles inn, kan gi unike innsikter som benyttes til markedsføring. Slik har de store aktørene overtatt stadig større andeler av annonsemarkedet.

Mangelen på like spilleregler innenfor utvikling og bruk av forbrukertjenester er en grunnleggende utfordring for personvernvennlige og personvernfremmende forbrukertjenester. Som beskrevet i kapittel 13, har håndhevingen av regelverket overfor teknologigigantene så langt ikke vært tilstrekkelig effektiv. Dersom personvernregelverket ikke håndheves effektivt og strengt overfor grove overtredelser, medfører det lav risiko for teknologigantene i å ikke ivareta grunnleggende personvernprinsipper. En slik situasjon kan bidra til et kappløp mot bunnen, der de lovlydige taper terreng mens de som ikke etterlever regelverket kaprer stadig større markedsandeler. Mangelfull håndheving kan også føre til at det i praksis ikke oppleves som lønnsomt å innovere innenfor teknologi som ivaretar forbrukernes rettigheter.

Personvernkommisjonen mener det er en grunnleggende forutsetning for godt personvern at det skal straffe seg å bryte loven. Effektiv håndhevelse av personvernregelverket er derfor nødvendig for å etablere like spilleregler, og for å stimulere til innovasjon innenfor personvernfremmende teknologi.

Personvernkommisjonen mener det er problematisk for personvernet at norske selskaper og globale teknologigiganter ikke opererer under like konkurransevilkår. Regjeringen må ta grep for å begrense gigantenes markedsmakt for å sikre like spilleregler, og slik tilrettelegge for innovasjon som støtter opp under personvernet.

9.5 Barn som forbrukere

Personvernkommisjonens mandat inkluderer å foreslå tiltak som styrker den digitale forbrukerkompetansen til barn og unge, spesielt knyttet til digital innsamling av personopplysninger og markedsføring i sosiale medier. Kommisjonen skal se på hvordan bruk av sosiale medier påvirker personvernet og kartlegge personvernkonsekvenser ved profilering av barn og direkte markedsføring, samt utrede barns samtykkekompetanse. Personvernkommisjonen vil derfor i denne delen av utredningen vektlegge hvilke utfordringer digitale tjenester kan skape for barns personvern. Som en del av denne drøftelsen vil kommisjonen også se på personvernutfordringer for barn i en familiekontekst.

Den digitale utviklingen har mange positive følger for barn og unge, som også tas i betraktning når kommisjonen ser på det totale bildet. Digitaliseringen har tilrettelagt for tilgang til informasjon, sosialt samvær, underholdning og læring for barn og unge. Den bidrar til å forsterke rettigheter som retten til ytringsfrihet og til informasjon. Disse rettighetene må sees i sammenheng med retten til personvern. Det må være en forutsetning at tjenesteleverandører som har barn og unge blant sine brukere, ivaretar barns grunnleggende rettigheter, og ikke setter rettighetene opp mot hverandre dersom det kan unngås.

Barn er i mange tilfeller mer sårbare enn voksne på grunn av manglende erfaring, økt impulsivitet, og lavere nivå av konsekvenstenkning. Selv om barn og unge i dag kan ha høy digital kompetanse, innebærer ikke dette nødvendigvis kunnskap om hvordan personopplysninger behandles, eller hvorfor personvern er viktig. Dette bidrar til at maktasymmetrien som beskrives i avsnitt 9.4. blir større i situasjoner som involverer barn.

9.5.1 Barns forbrukerhverdag

Barn og unge er ivrige brukere av digitale tjenester, både på skolen og i barnehagen, som beskrevet i kapittel 8, og på fritiden. Mange barn bruker sosiale medier for å holde kontakt med venner, nettaviser og videotjenester for å oppsøke informasjon, spill for å underholdes, og mye mer. Selv om barn og unge i mange tilfeller bruker andre nettsider og applikasjoner enn voksne, er typen digitale tjenester de bruker altså relativt lik. Barn og unge forholder seg likevel annerledes til mange av tjenestene de bruker enn det voksne gjør.

Gjennom digital teknologi kan barn få realisert sine sivile, politiske, kulturelle og sosiale rettigheter. Ulik tilgang på teknologi kan imidlertid føre til forskjeller mellom barn innad i et land og land imellom når det kommer til i hvilken grad de får realisert rettighetene sine ved bruk av teknologi.

Barn og unge er selvsagt ikke en homogen gruppe, og den digitale forbrukerhverdagen til en 17-åring skiller seg betraktelig fra en treårings. Den digitale forbrukerkompetansen varierer tilsvarende, og kan også henge sammen med andre faktorer, inkludert økonomisk situasjon og foreldres kompetanse. Det er relevant å nevne at mange av dagens småbarnsforeldre selv har vokst opp med internett, sosiale medier og smarttelefoner. Dette utgjør et skille fra tidligere foreldregenerasjoner, som ofte kunne sies å ha lavere digital kompetanse enn barna. Dermed er det i dag ikke nødvendigvis slik at foreldrene mangler grunnleggende digital kompetanse sammenlignet med barna.

Medietilsynets undersøkelse fra 2020 viser at 97 prosent av 9 til 18-åringer i Norge har egen mobiltelefon og at nesten halvparten av norske barn i alderen 1 til 5 år har tilgang til nettbrett.389 Syv av ti barn ser på YouTube/YouTube Kids, mens litt over halvparten spiller digitale spill. I aldersgruppen 9 til 18 år bruker ni av ti sosiale medier. De mest populære plattformene i denne aldersgruppen er YouTube, SnapChat, TikTok og Instagram.390 Det betyr at barn og unge er til stede på plattformer som samler inn store mengder personopplysninger for markedsføringsformål og andre formål.

9.5.2 Barns rettigheter i digitale flater

Selv om barn og unge i mange tilfeller har relativt høy digital kompetanse, vil de i mange sammenhenger være særlig sårbare. På grunn av denne underliggende sårbarheten har barn særskilt krav på beskyttelse, og flere relevante lovverk har særbestemmelser for barn og unge. Nedenfor gjøres det rede for de mest relevante lovene og rettighetene som har særlig betydning for barn og unges personvern.

9.5.2.1 Barns forbrukerrettigheter

Markedsføring overfor forbrukerne reguleres av EU-direktiv om urimelig handelspraksis391 og markedsføringsloven.392 EU-direktivet forbyr «urimelig handelspraksis» overfor forbrukerne.393 Det er fremhevet at det alltid vil ansees urimelig og forbudt å inkludere «direkte oppfordringer til barn om å kjøpe annonserte produkter eller overtale foreldrene eller andre voksne til å kjøpe de annonserte produktene til dem» i reklame for barn.394

Markedsføringsloven har et eget kapittel som omhandler markedsføring rettet mot barn.395 Som hovedregel skal virksomhetene vise «særlig aktsomhet overfor barns påvirkelighet, manglende erfaring og naturlige godtroenhet.» Videre skal det tas «hensyn til alder, utvikling og andre forhold som gjør barn spesielt sårbare».396 Det foreligger et generelt forbud mot «urimelig handelspraksis».

I vurderingen må virksomhetene legge vekt på om markedsføringen er særskilt rettet mot barn.397 Videre skal det legges vekt på om markedsføringen, «på grunn av art eller produkt, er egnet til å påvirke barn, og om den næringsdrivende kan forventes å forutse barns særlige sårbarhet for praksisen». Dette skal gjøres selv om markedsføringen ikke er særskilt rettet mot barn.398 Til slutt skal markedsføringen ikke stride mot god markedsføringsskikk.399 Forbrukertilsynet fremhever at det ved den generelle vurderingen skal «legges vekt på om markedsføringen krenker alminnelige etikk- og moraloppfatninger, eller om det tas i bruk støtende virkemidler».400

Selv om reglene er skjønnsmessig utformet, er prinsippene relativt klare. Virksomheter skal ta hensyn til barn når de er, eller kan være i, gruppen markedsføringen når ut til.

Som beskrevet ovenfor, brukes personopplysninger til å utlede atferd, preferanser, evner eller behov. Denne kunnskapen brukes til å lage profiler og segmenter som brukes til å målrette markedsføring. Det kan argumenteres for at profilering for markedsføringsformål ikke er i henhold til god markedsføringsskikk. I sin markedsføringsveileder er Datatilsynet også klare på at virksomheter ikke skal profilere barn for markedsføringsformål.401

På tross av at bruk av atferdsbasert markedsføring mot barn som regel vil være forbudt, ser man gjentakende eksempler på markedsføring som klart er utenfor de lovlige rammene både direktivet for urimelig handelspraksis og markedsføringsloven setter opp.

Barneombudet og Forbrukerrådet har etterlyst en gjennomgang av markedsføringsregelverket for å se hvordan det kan innrettes for å beskytte barn bedre mot kommersiell utnyttelse på nett. De hevder at «forbrukerlovgivningen er fragmentert, uoversiktlig og med uklar ansvarsfordeling mellom tilsynsmyndighetene». For å oppdatere regelverket til å kunne beskytte barn og unge i digitale flater, foreslås det at regjeringen nedsetter et utvalg for å gjennomgå og foreslå endringer i de relevante regelverkene, inkludert bransjedrevne selvreguleringsordninger, og gjør en barnerettsvurdering av alle forslag som berører barn som forbrukere.402

Personvernkommisjonen anbefaler at Regjeringen nedsetter et lovutvalg for å gjennomgå og foreslå endringer i regelverk for å beskytte barn og unge i digitale flater.

9.5.2.2 Barneloven – Rekkevidde og begrensninger for foreldreansvaret

Barneloven regulerer foreldres rettigheter og plikter overfor barn, samt barns rettigheter overfor foreldre. De som har foreldreansvaret har rett og plikt til å bestemme for barna innenfor lovens grenser og barns med- og selvbestemmelsesrett, som omtales nærmere under. Barnelova § 30 regulerer innholdet i foreldreansvaret. Foreldreansvaret skal utøves ut fra barnets interesser og behov, jf. barnelova § 30 første ledd, fjerde punktum. Foreldrenes avgjørelser må også ta hensyn til barnets egne meninger og gradvise selvbestemmelsesrett, jf. barnelovens §§ 31 og 33.

Foreldres mulighet til å ivareta barns personvern er ikke direkte regulert i lovgivningen, men kan utledes av blant annet barnelova § 30.

I NOU 2020: 14 vises det til at enkelte utredninger peker på vergemålsloven som det rettslige rammeverket for spørsmålet om hvem som kan samtykke til behandling av personopplysninger på vegne av barn.403

Utgangspunktet etter barnelova er at alle beslutninger et barn ikke kan foreta på egenhånd, tilfaller foreldrene.404 Imidlertid kan det i grensesnittet mellom barn og foreldre oppstå en rekke problemstillinger av interesse for barns kontroll over eget personvern. Barnelova supplerer de generelle personvernreglene når foreldre forvalter barnets rettigheter på vegne av barnet.

Personvernrettigheter kan utøves av foreldre alene, av barn og foreldre i samarbeid405 eller av barnet alene. Når barnet er fylt 12 år, skal det legges stor vekt på hva barnet mener. Dette følger av barnelova § 31 andre avsnitt. Forslag til ny barnelov § 6-6, foreslår at denne aldersgrensen fjernes.

9.5.2.3 Foreldres bestemmelsesrett

Foreldrene har samtykkekompetanse på vegne av barnet på de fleste områder av barnets liv, med mindre det foreligger hjemmel for noe annet. Dette er særegent for forholdet mellom barn og foreldre, da det rettslige utgangspunktet er at den enkelte bare kan samtykke på vegne av seg selv. At bestemmelsesretten må utøves ut fra barnets interesser og behov, gjelder også samtykke og offentliggjøring etter personopplysningsloven, og samtykke til å offentliggjøre bilder og personopplysninger i media. Det følger derfor allerede av barneloven § 30 og foreldrenes omsorgsplikt at foreldrene ikke selv kan offentliggjøre eller samtykke i offentliggjøring av bilder og opplysninger om barna hvis dette ikke er til barnets beste. Også barnekonvensjonen artikkel 3 om barnets beste vil være til hinder for dette. Barnets rett til beskyttelse mot innblanding i privatlivet – barnets personvern – er imidlertid en tilstrekkelig begrunnelse i seg selv for å begrense foreldrenes samtykkekompetanse.

Foreldrenes bestemmelsesrett er også begrenset av flere regler. De mest sentrale begrensningene er barnets med- og selvbestemmelsesrett.

9.5.2.4 Barnets medbestemmelses- og selvbestemmelsesrett

Barns medbestemmelsesrett i alle spørsmål som angår dem, følger av barnekonvensjonen artikkel 12, grunnloven § 104, og av barneloven § 31, samt flere bestemmelser i særlovgivningen. Etter barneloven § 31, er dette en absolutt rett fra barnet er syv år når det gjelder saker om personlige forhold. Barn skal også høres før de har nådd denne alderen, hvis det dreier seg om saker hvor de har mulighet til å gjøre seg opp en mening. Barnets rett til å bli hørt vil i praksis si at barnets stemme bør bli utslagsgivende etter hvert som barnet blir eldre.406

Parallelt med medbestemmelsesretten, skal barn også ha en selvbestemmelsesrett, jf. barneloven § 33. Det følger av bestemmelsen at «foreldra skal gje barnet stendig større sjølvråderett med alderen og fram til det er myndig». Det avgjørende for når selvbestemmelsesretten inntrer er, på samme måte som ved medbestemmelsesretten, avhengig av hvilken type avgjørelse som skal tas, barnets alder og modenhet. Når barnet er modent nok til å treffe en forsvarlig avgjørelse, gjør begrunnelsen bak foreldreansvaret seg ikke lenger gjeldende, noe som taler for at barnet kan bestemme selv.407

9.5.2.5 Barns samtykkekompetanse

Full samtykkekompetanse til behandling av personopplysninger inntrer når en person fyller 18 år. Mindreårige har altså som hovedregel ikke slik kompetanse, jf. vergemålslova § 9. Et sentralt unntak er gjort ved barns bruk av informasjonssamfunnstjenester, jf. personvernforordningen artikkel 8 nr. 1, jf. personopplysningsloven § 5. Etter bestemmelsene har barn samtykkekompetanse fra de er 13 år ved det aller meste av sin internettaktivitet. Dette gjelder også der de benytter tjenester som ikke konkret er rettet mot barn, som ved bruk av sosiale medier. (Se nærmere om barnet som registrert person og barnets rettigheter etter personvernforordningen kap. III i Ingvild Sciøll Ericsons utredning for Personvernkommisjonen, vedlagt som digitalt vedlegg.)408

Barn kan likevel ikke samtykke til behandling av særlige kategorier personopplysninger før de er 18 år, jf. personvernforordningen artikkel 9 nr. 2 bokstav a. Et barn kan trolig heller ikke avgi et «uttrykkelig» samtykke etter andre bestemmelser før det er 18 år, da behandling av personopplysninger etter slike bestemmelser gjerne utgjør en høyere personvernmessig risiko enn normalt. Det er få rettskilder til belysning av spørsmålet, og forholdet til bestemmelser som krever «uttrykkelig» samtykke bør derfor avklares.

Mens vergemålsloven regulerer rettslige og økonomiske forhold, kommer barneloven til anvendelse på personlige forhold.

Det eksisterer ikke uttrykkelige bestemmelser i lovgivningen som sier noe om når barnet har selvstendig samtykkekompetanse til deling av personopplysninger. Datatilsynet praktiserer imidlertid «faste» aldersgrenser for når et samtykke er gyldig avgitt, uten at hjemmelen for bruken av slike aldersgrenser synes klar.409

Det fremgår av UNICEF sine «Guidelines for Industry on Child Online Protection» at foreldre eller foresatte spiller en aktiv rolle når det gjelder avgjørelser om hvilken informasjon og hvilket innhold barn kan få tilgang til og dele videre. Foreldrene skal også ta hensyn til barnets meninger. Ved installering av ulike filtre og «foreldrekontroller» skal foreldrene ta hensyn til barnets alder og deres evne til å kunne ta informerte valg på nettet.410 Dette indikerer at foreldrene skal ta barnets alder i betraktning når de setter grenser for hvilket innhold barn skal få tilgang til på nett.

9.5.2.6 Foreldres rett til å eksponere egne barn

Et sentralt spørsmål er hvor langt samtykkekompetansen innenfor foreldreansvaret gir foreldrene rett til å publisere personopplysninger om egne barn. Problemstillingen var særlig diskutert i den tidligere personvernkommisjonens utredning, se NOU 2009: 1, kapittel 14.411 Personopplysningsregelverket regulerer ikke i dag spørsmålet om hvilke opplysninger foreldre kan publisere om egne barn. Regelverket har heller ingen bestemmelser om hvorvidt Datatilsynet kan pålegge sletting av personopplysninger som foreldre har lagt ut om sine egne barn.

I høringsnotatet412 til endringer i den forrige personopplysningsloven av 2000, gikk Justis- og beredskapsdepartementet inn på spørsmålet om foreldrenes mulighet til å samtykke på vegne av barnet. Departementet viste i den forbindelse til diskusjonen knyttet til foreldre som publiserer sensitive opplysninger om sine barn på internett. Departementet uttalte følgende, jf. punkt 8.3.2.3 side 75:

«Departementet bemerker at foreldreansvaret ikke er en konstant størrelse, men uttynnes gradvis, idet foreldrenes rett til å bestemme for barnet avtar etter hvert. Særlig barnets selvbestemmelsesrett etter barneloven § 33 vil kunne føre til at foreldrenes bestemmelsesrett bortfaller før barnet er 18 år.

I juridisk teori et det antatt at barnet kan ha større selvbestemmelsesrett til å nekte («nektingskompetanse») enn til å gi samtykke («samtykkekompetanse») til inngrep eller tiltak, jf. Backer: Barneloven Kommentarutgave, 2. utgave side 306 (2008). […]

Departementets foreløpige vurdering er at foreldrenes samtykkekompetanse kan begrenses på områder hvor de i utgangspunktet har slik kompetanse, både med hjemmel i nasjonal rett, jf. barneloven § 30 flg., og internasjonal rett, jf. Barnekonvensjonen. […] Samtykkekompetansen kan muligens klargjøres ved å inkorporere prinsippet om barnets beste i eventuelle særregler om behandling av barns personopplysninger, eventuelt i tillegg å innta en henvisning til barnets selvbestemmelsesrett.»

I forslaget til ny barnelov NOU 2020: 14 peker utvalget på at personvern, privatliv og personopplysninger i dag reguleres av ulike lover på ulike områder. Barnelovutvalget mente at en mangel i dagens lovgivning om personvern og privatliv er manglende oppmerksomhet om hvor langt foreldresamtykket rekker overfor barns rett til privatliv og personvern. Utvalget gikk derfor inn for å gi noen eksplisitte bestemmelser som styrker barnets rett til vern av sitt privatliv og personvern.413 Utvalget så behov for en bestemmelse i kapitlet om foreldreansvar, som regulerer enkelte sider ved barns rett til personvern og privatliv og forholdet til foreldrenes samtykkekompetanse. Bestemmelsen ble inntatt som § 6-7 i utvalgets lovforslag. Forslaget til bestemmelse gir en plikt for foreldre til å ta hensyn til barnets rett til privatliv og personvern når de samtykker på vegne av barn, og gir aldersgrenser for når barnet oppnår selvbestemmelsesretten over personopplysninger.414

Etter barnelovutvalgets syn kan ikke et samtykke fra foreldrene på vegne av egne barn nødvendigvis likestilles med et samtykke fra den som opplysningen omhandler (barnet), og på den måten medføre at behovet for vern opphører.

Den nye bestemmelsen foreslås inntatt under foreldreansvaret i loven og utvalget påpeker at bestemmelsen vil være en rettslig nyvinning i barneloven.415

9.5.2.7 «Barnets beste» i møte med andre rettigheter

Spørsmålet om beskyttelse av barns privatliv og personvern aktualiserer også menneskerettigheter som kan ha kryssende hensyn. Det mest aktuelle eksempelet vil være retten til ytringsfrihet. Ytringsfriheten er blant annet beskyttet i Grunnloven § 100 og EMK artikkel 10, samt i barnekonvensjonen artikkel 13. Inngrep i ytringsfriheten kan også være tillatt etter menneskerettighetene, på nærmere bestemte vilkår.

Foreldres ytringsfrihet kan komme til utrykk ved at foreldre deler opplysninger om egne barn. Dersom myndighetene griper inn overfor en privatpersons ytringer, av hensyn til beskyttelse av andres privatliv og personvern, er dette i utgangspunktet også et inngrep i ytringsfriheten til den som deler opplysningene.

Også barn har ytringsfrihet, som kan medføre at de «utleverer seg selv» ved å legge ut innhold som gir utrykk for deres interesser, tanker og meninger.

Personvernregelverket regulerer ikke i dag spørsmålet om hva foreldre kan og ikke kan legge ut opplysninger om, eller hvorvidt Datatilsynet kan pålegge sletting av personopplysninger foreldre har lagt ut om egne barn.

9.5.3 Personvernutfordringer for barn som forbrukere

Som beskrevet gjennom dette kapitlet, har forbrukere i dag svært begrensede muligheter til å forstå omfanget av datainnsamlingen som skjer på tvers av nettsteder, apper, tingenes internett, og andre digitale tjenester. Aktørbildet er uoversiktlig, teknologien er kompleks, og avtalevilkår er vanskelig å lese og forstå. Det er umulig å ha oversikt over hvem som samler inn personopplysninger, hva opplysningene brukes til, og hvilke konsekvenser det kan ha i fremtiden. Alle disse problemstillingene aktualiseres i høyeste grad når det gjelder barns personvern.

En undersøkelse gjennomført på oppdrag fra Personvernkommisjonen, viser at barn og unges forståelse for personvernproblematikk varierer noe mellom aldersgrupper, men at det er generelt lav forståelse.416 Digitaliseringen har bidratt til at forskjeller mellom by og land viskes ut, mens andre demografiske og sosiale forskjeller slik som foreldres utdanning og inntekt, skolemiljø og vennekrets påvirker kompetansen. Generelt viser undersøkelsen at barn og unge stort sett har lav bevissthet rundt personvernsproblematikk, digitale økosystemer og personvernkonsekvenser ved bruk av digitale tjenester.

Det er også en generelt lav forståelse av hvordan man kan ivareta eget personvern. Mange av barna som ble intervjuet har en anelse om at noen «kikker dem over skulderen», særlig blant de eldste, men de har vanskeligheter med å sette fingeren på hvorfor dette skjer. Undersøkelsen tyder også på at bevisstheten er større rundt personvern knyttet opp mot andre barn og andre brukere, enn knyttet til tjenestetilbyderne. Som beskrevet ovenfor, er verdikjedene, teknologien og avtalevilkårene som ligger til grunn for mye av databehandlingen svært komplisert, og ofte umulig å forstå også for voksne. Dette tilsier at barn heller ikke har anledning til å forstå disse komplekse systemene og spørsmålene, og at det ikke er hensiktsmessig å forvente en slik forståelse.

«Jeg likte ikke TikTok. Jeg syns det var ubehagelig at alle plutselig kunne se på meg»

Jente, 10417

I rapporten «Photoshop, fillers og falske glansbilder?» fra 2019 kommer det fram at ungdommer (15–20 år) forstår at informasjon som legges ut i sosiale medier brukes av tredjeparter for å skreddersy innhold. Ungdommene er klare over at algoritmer brukes til blant annet atferdsbasert markedsføring. Flere oppgir at de synes det er ubehagelig å føle at man overvåkes i digitale tjenester, men føler på en resignasjon fordi de ofte føler at de ikke har noe annet valg enn å samtykke til innhenting av personopplysninger.418 Dette tyder på at selv om forståelsen for at personopplysninger samles inn og brukes til uønskede formål øker med alderen, fører ikke dette til en tilsvarende økning i handlekraft for å ivareta personvernet. Det vitner om en personvernresignasjon også blant unge.

Undersøkelsen viser også at barn «var eksponert for mye «problematisk» markedsføring i sine sosiale medieprofiler, som for eksempel alkohol, gambling og kosmetiske behandlinger».419 Markedsføringen var i «betydelig grad skreddersydd» etter barns «personlige data som kjønn, lokasjon, alder, etnisitet og digitale aktiviteter».420 De vanligste markedsføringsteknikkene var sponsede lenker, kjendissponsing og rabattkoder.

I Storbritannia har myndighetene utformet bindende retningslinjer som har til hensikt å beskytte barn på nett. Retningslinjene «Age Appropriate Design Code» trådte i kraft i 2020, og stiller en rekke krav til virksomheter som tilbyr tjenester som brukes av barn.421 Alle tjenesteleverandører som har barn blant sine brukere er lovpålagt å følge retningslinjene, tjenesten trenger ikke nødvendigvis å være rettet spesifikt mot barn og unge. Brudd på retningslinjene kan medføre sanksjoner fra det britiske datatilsynet.

De bindende retningslinjene fremsetter 15 standarder som må følges av aktører som tilbyr tjenester som brukes av barn. Det inkluderer blant annet krav om å ta hensyn til barnets beste, gjennomføring av personvernkonsekvensvurderinger, en risikobasert tilnærming når en vurderer brukernes alder, personvernvennlige standardinnstillinger, gjennomsiktighet og informasjon tilpasset barn, samt verktøy for å hjelpe barn å ivareta sine personvernrettigheter. Etter introduksjonen av retningslinjene, innførte flere store plattformer globale endringer for å bedre ivareta barns personvern.422 Et lovforslag inspirert av de britiske retningslinjene ble lagt fram av myndighetene i California i 2022.423

9.5.3.1 Atferdsbasert markedsføring mot barn

For mange næringsaktører er barn og unge en populær målgruppe, og som et følge av dette utsettes barn ofte for store mengder markedsføring og kommersielt press.424 Mange av de mest populære digitale tjenestene som benyttes av barn er reklamefinansierte, og atferdsbasert markedsføring kan rettes mot barn så vel som mot voksne.

Barn har generelt vanskeligere for å forstå markedsføring enn voksne, inkludert en lavere evne til å kjenne igjen markedsføring, skille dette fra annen kommunikasjon, samt å forstå markedsførerens hensikt.425 Det blir desto vanskeligere å identifisere markedsføring dersom det er integrert i underholdnings- eller annet innhold, for eksempel ved at influensere promoterer produkter426 eller at spill blir en del av en markedsføringskampanje.427

Forbrukertilsynet fremhever at digital markedsføring foregår på måter og i kanaler hvor det er vanskelig for foreldre å holde oversikt. Markedsføringen kan tilpasses barnets alder og andre individuelle trekk, og selv om foreldrene er til stede på de samme plattformene og tjenestene vil ikke de bli eksponert for de samme annonsene.428 Dersom markedsføringen er atferdsbasert og tilpasset segmenter eller individer, blir det nesten umulig for foreldre og tilsynsmyndigheter å vite hvilke annonser barna ser.

Gruppen Reset Australia har blant annet avdekket at Meta tillater virksomheter å reklamere mot barn helt ned i 13 års alder som har utrykt interesse for røyking, ekstrem vektreduksjon og gambling.429 I Norge har Forbrukerrådet avdekket at apper rettet mot små barn drives av reklamenettverk,430 og at digitale produkter som leker og GPS-klokker rettet mot barn mangler grunnleggende personvern.431

Det kan også være problematisk dersom barns personopplysninger benyttes til å tilpasse og/eller målrette innhold utover markedsføring. Barn kan for eksempel være særlig sårbare for påvirkning gjennom desinformasjon og ytterliggående innhold. Dette har blitt aktualisert gjennom tilfeller hvor anbefalingsalgoritmer har anbefalt ekstremt, radikaliserende eller misvisende innhold til barn.432

Som omtalt i avsnitt 9.4.2, har både Europaparlamentet og Regjeringen inntatt en posisjon om at atferdsbasert markedsføring mot barn bør forbys som en del av den kommende forordningen om digitale tjenester (DSA). Det argumenteres med at barn er særlig sårbare for denne typen markedsføring.

Det er foreløpig ikke klart hvordan tjenesteleverandører kan vurdere om en bruker er et barn eller ikke. Det er grunn til å anta at brukere av en app myntet på treåringer i hovedsak vil være barn. Denne vurderingen vil være vanskeligere dersom en tjeneste har innhold myntet på både barn, tenåringer og voksne. Dersom tjenesteleverandører pålegges å verifisere alder og identitet på samtlige brukere, kan dette ha uheldige konsekvenser for personvernet, fordi det kan føre til at flere personopplysninger må behandles.433

9.5.3.2 Barns personvern og andre rettigheter

Bruken av personopplysninger for å styre barns tilgang på informasjon kan påvirke barns autonomi og muligheter til å kunne utvikle seg. Det er problematisk dersom algoritmiske systemer som drives av globale teknologiselskaper får stor makt til å forme barn og unges verdensbilde og virkelighetsoppfatning. I sin generelle kommentar uttaler FNs barnekomité blant annet at automatiserte systemer ikke bør brukes for å påvirke barns oppførsel eller følelser, eller for å begrense deres muligheter og utvikling.434

Personvernkommisjonen mener barn ikke skal settes i situasjoner hvor de må gi opp retten til personvern for å kunne utøve øvrige rettigheter. Barns personvern må ivaretas i digitale tjenester på en måte som gjør at de kan utøve andre rettigheter, som retten til meningsdannelse, sosialt samvær og informasjonssøk. Personvernet skal ikke være en hindring for disse rettighetene, men må være komplementært.

9.5.3.3 Foreldres ansvar for utlevering av barns personopplysninger

I tillegg til å møte personvernutfordringer fra kommersielle aktører, er barn også utsatte forbrukere i møte med foreldre og andre barn. Uønsket bildedeling er for eksempel noe som har blitt viet mye oppmerksomhet, både gjennom at foreldre og besteforeldre legger ut bilder i sosiale medier, eller ved at barn deler bilder av hverandre som en del av mobbing på nett. Ifølge rapporten EU Kids Online 2018 utført i Norge, har fem prosent av alle barn hatt negative erfaringer regelmessig (hver måned) på internett, mens 17 prosent har hatt dette noen få ganger.435

Publisering av bilder og personopplysninger i sosiale medier aktualiserer flere juridiske problemstillinger, herunder avveininger av ulike rettigheter. Forholdet mellom ytringsfriheten og privatlivet står sentralt ved publisering av opplysninger om andre. Disse rettighetene kan komme i et spenningsforhold. I tilfeller der foreldre publiserer opplysninger om egne barn kompliseres dette ytterligere ved at det i tillegg er særlige prinsipper og regler som gjør seg gjeldende.

Ifølge FNs barnekonvensjon, samt i den allmenne samfunnsoppfatningen, er det foreldrene som har hovedansvaret for barnets omsorg og utvikling, i tråd med det som er best for barnet. Foreldrene har et oppdrager- og opplæringsansvar overfor barna sine. De har ansvaret for om aldersgrenser for tilgang til ulike plattformer overholdes og om de gir samtykke for yngre barn. Foreldrene har ansvaret for barnets personvern, liv og helse knyttet til den digitale verden. Barnet skal beskyttes mot det som kan være skadelig. Samtidig kan foreldre selv krenke barns rettigheter gjennom sin egen digitale atferd. Det innebærer at foreldre må være bevisste på konsekvensene av å dokumentere og dele barns barndom på nett.

9.5.3.4 Foreldres deling av bilder av barn

De seneste årene har det oppstått en delingskultur, hvor foreldre deler bilder og videoer helt fra første ultralyd til siste skoledag. Slik praksis setter digitale spor knyttet til det enkelte barn, som barnet selv ikke har kontroll over. Slik kan foreldrene være med på å skape en digital identitet som barnet selv, når det vokser opp, ikke ønsker eller kjenner seg igjen i. Dette kan utfordre barns rett til personvern.

Ifølge resultater fra undersøkelsen EU Kids Online 2018, oppgir 33 prosent av norske barn at deres foreldre eller foresatte har delt informasjon om dem på nettet uten å først ha spurt dem om det var greit.436 Dette er klart høyest blant de 19 landene som har vært med i undersøkelsen.

Selv om en forelder for eksempel kan synes et bilde av barnet er fint, kan det hende at barnet selv er uenig. Som forklart ovenfor har barnet med- og selvbestemmelsesrett etter barneloven. Barns gryende forståelse av hvordan de oppfatter seg selv, og ikke minst at de litt etter litt skal lære om sine rettigheter knyttet til bilder og opplysninger om dem selv, er sentralt i en verden der innhold produseres og deles som aldri før. De yngste barna har ingen forutsetning for å forstå hva internett og deling i sosiale medier er, og derfor er særlig sårbare.

Å styrke barns forståelse av personvern og gi dem gode vaner allerede i tidlig alder, er et viktig bidrag i arbeidet for et godt psykososialt læringsmiljø i barnehage og skole. Et barn som har kjennskap til rettighetene sine, vil lettere kunne sette egne grenser – og respektere andres. Dersom foreldre er respektfulle i omgangen sin med bilder, vil barnet lære av dem. Det innebærer også å ta barns meninger på alvor.

Foreldre har både foreldreansvar og ytringsfrihet, mens barna på sin side har rett til privatliv. Omfattende eksponering vil kunne innebære en krenkelse av barns rett til privatliv. Dette kan eksempelvis være opplysninger i tilknytning til en barnevernssak, helseopplysninger eller opplysninger om barnet fra rettsdokumenter.437

Barn er i stadig utvikling, og bilder som ble delt uten motforestillinger på et tidspunkt, kan oppleves ugreit senere. Datatilsynets veileder «I beste mening» forklarer hvilke prinsipper som bør gjelde før man eventuelt legger ut bilder av barn på nett. Tilsynet anbefaler å begrense delingen av barnebilder, alltid spørre barnet om det er greit, samt å slette delte bilder etter hvert.438

Et annet spørsmål er der andre familiemedlemmer publiserer opplysninger om barn. Denne personkretsen kan også potensielt krenke barns rett til personvern. Andre personer som ikke har foreldreansvaret, bør normalt ha en mer innskrenket adgang til å eksponere barn, på linje med andre utenforstående.

Barn kan også ha stor påvirkning på hverandres personvern, gjennom å dele og/eller legge ut informasjon om andre barn. Dette har blant annet fått mye oppmerksomhet i kontekst av mobbing på nett og spredning av nakenbilder. Digitale tjenester har gjort terskelen lav for å kunne spre innhold uten tillatelse, og dersom innhold først er spredt kan det være umulig å få slettet det.439

I tilfeller hvor et barn sprer bilder av seg selv eller av andre barn, vil det ofte skyldes at barnet ikke forstår de mulige konsekvensene av slik spredning. Dette er utfordringer som mulig kan forebygges ved opplæring i barnehage og skole, som beskrevet i kapittel 8.

Personvernkommisjonen anbefaler at personvernutfordringer knyttet til innhold delt av foreldre og andre barn forebygges gjennom kompetanseheving, blant annet gjennom undervisning. Dette er et område hvor tiltak knyttet til nettvett og vurderingsevne er viktig.

9.5.3.5 Foreldres kommersielle eksponering av barn i sosiale medier

Som nevnt bruker mange foreldre sosiale medier til å legge ut bilder av barna sine. Dette kan i seg selv være ulovlig med hensyn til innhold. De siste årene har det utviklet seg en trend hvor noen foreldre bruker egne barn i sosiale medier, med kommersielt formål. Formålet med kommersiell bruk av barn i sosiale medier er å tjene penger eller få sponsede produkter, mens formålet i andre tilfeller gjerne vil være å dele bilder av barna med venner og familie og/eller få bekreftelse eller oppmerksomhet gjennom kommentarer og «likes».

I praksis foregår dette ofte ved at foreldrene inngår en avtale med en kommersiell aktør (nettbutikk eller annet) om at de (foreldrene og barnet) skal være ambassadører for aktøren, eller ved at foreldrene blir betalt i form av penger for å vise frem klær og utstyr hvor barna blir brukt som modeller. Foreldrene publiserer deretter bilder av barnet med det aktuelle produktet og sier noe positivt om det produktet i sosiale medier. I slike tilfeller offentliggjør foreldrene personlig informasjon om barnet sitt (for eksempel bilde av barnet) for å reklamere for produkter de har fått. Som ved foreldres deling av bilder av barn for øvrig, er det problematisk for barns personvern at personopplysninger om dem offentliggjøres. Det er særlig problematisk når det er sterke kommersielle insentiver for å eksponere barn.

Personvernkommisjonen mener foreldre ikke bør publisere barns personopplysninger, inkludert bilder, for kommersielle formål på nett.

9.5.3.6 Foreldres overvåkning av barn

Foreldre kan også påvirke barns personvern i negativ retning ved å anvende digital teknologi for å følge med på og/eller overvåke barna. Den digitale utviklingen har medført mange nye muligheter for foreldre som ønsker å holde et øye med sine barn i forskjellige kontekster. Et eksempel er funksjoner i sosiale medier som lar brukere se hverandres lokasjon, for eksempel gjennom funksjonen SnapMap i den populære tjenesten SnapChat, eller gjennom bankapplikasjoner som lar foreldre overvåke kjøpsaktivitet.440

Utbredelsen av tingenes internett har også lagt til rette for en rekke nye verktøy som kan brukes for å spore og lytte inn på barn. Eksempelvis har GPS-klokker for barn blitt markedsført som sikkerhetsverktøy som lar foreldre holde bedre oversikt over hvor barna befinner seg, og som alternativer til mobiltelefoner for de yngste barna. Slike klokker har blitt relativt populære i Norge blant foreldre som ønsker ekstra sikkerhet i hverdagen.441

I 2017 avdekket Forbrukerrådet at flere populære typer GPS-klokker for barn solgt i Norge, hadde alvorlige sikkerhetsmangler som gjorde det mulig for fremmede å overvåke barnet.442 Datatilsynet og Barneombudet har også advart mot å bruke slike produkter, blant annet på grunn av nedkjølingseffekten denne typen overvåkning kan ha på barn, for eksempel ved at de unngår situasjoner som er en vanlig del av barns utviklingsløp fordi de vet at foreldrene følger med. Ifølge Datatilsynet og Barneombudet kan bruken av sporingsteknologi på barn skape unødvendig frykt, og ha negative effekter på barns utvikling fordi de ikke lærer å håndtere utfordringer på egen hånd.443 Kontinuerlig overvåkning av barn kan også ha en negativ effekt på tillitsforholdet mellom barn og foreldre.444

I 2021 utarbeidet FNs barnekomité en General Comment no. 25 om artikkel 16.445 Kommentaren tar blant annet opp krenkelser mellom barn og foreldre, og advarer mot rutinemessig overvåkning av barn og unge.

I en spørreundersøkelse gjennomført av Datatilsynet kom det fram at mer enn tre av fire respondenter mener det er uakseptabelt å spore barn og tenåringer i det daglige liv.446 Respondentene mener imidlertid at det er mer akseptabelt å spore de minste barna, enn barn over tolv år. Generelt kom det fram av undersøkelsen at de under 30 år er mer kritiske til at foreldre overvåker barna sine enn de over 30 år. Det kan tyde på at de som selv har vokst opp med digitale tjenester er mest skeptiske til sporing og «snoking» i barns digitale liv.

FNs barnekonvensjon sier: «Alle barn har rett til eit privatliv.» Barneombudet tolker dette slik at foreldre vanligvis ikke har lov til å lese barnets e-poster, dagbok eller for øvrig snoke i barnets ting.447 Dersom foreldrene har god grunn til å tro at barnet er i ferd med å bli utsatt for noe skadelig eller skader andre, mener Barneombudet at foreldrene likevel kan sjekke barnets private ting.

Personvernkommisjonen mener at selv om bruken av digitale verktøy for å overvåke barn kan gi en økt følelse av trygghet og kontroll for både barn og foreldre, kan dette være inngripende i barnets rett til personvern.

Personvernkommisjonen mener Barneombudet bør utvikle en veileder for barn og foreldre for å styrke forståelsen av barns rett til personvern i familiære forhold.

9.6 Personvernkommisjonens anbefalinger oppsummert

Forbrukers mulighet til å ivareta eget personvern

• Personvernkommisjonen anbefaler at Regjeringen fører en offensiv personvernpolitikk opp mot EU.

• Personvernkommisjonen anbefaler at Regjeringen tar initiativ til å utrede hvordan teknologi kan brukes til å beskytte forbrukerne, for eksempel gjennom personvernvennlige standardinnstillinger eller automatisk blokkering av illegitim sporing. Det er vesentlig at det offentlige tar et slikt initiativ, slik at det ikke utelukkende er de globale plattformaktørene som i praksis leder an i dette arbeidet.

Tilsyn og håndheving

• Personvernkommisjonen anbefaler at ansvaret for håndheving av bruk av informasjonskapsler og lignende sporingsteknologi legges til Datatilsynet.

• Personvernkommisjonen mener Regjeringen bør støtte et forslag om en kommunikasjonsvernforordning som stiller krav til bruk av sporingsteknologi som er i samsvar med personvernforordningen.

Lovprosesser i EU

• Personvernkommisjonen anbefaler at Regjeringen engasjerer seg i utformingen av forordningen for kunstig intelligens med vedlegg, og jobber for en regulering som sørger for at KI-systemer utformes på en måte som ivaretar personvernet i både utvikling og bruk av systemene.

• Personvernkommisjonen anbefaler at Regjeringen støtter Europakommisjonens forslag om en horisontal IKT-sikkerhetslov (Cyber Resilience Act).

• Personvernkommisjonen mener Regjeringen bør være en aktiv pådriver i EUs lovgivingsprosesser som berører forbrukernes personvern.

Tingenes internett

• Personvernkommisjonen anbefaler at norske importører, forhandlere og bransjeorganisasjoner har informasjon tilgjengelig om hvordan personvernet ivaretas før salg av tilkoblede produkter.

• Personvernkommisjonen anbefaler at forhandlere har kontrollrutiner på plass for å sikre at produkter som selges i Norge opererer i tråd med personvernregelverket og ekomloven, og stiller krav til sine leverandører knyttet til blant annet dataminimering, formålsbegrensning og personvern som grunninnstilling. Bransjestandarder og merkeordninger kan være et viktig verktøy for å sørge for at leverandørene ivaretar slike krav.

• Personvernkommisjonen anbefaler at Regjeringen har som posisjon i regelverksutvikling at forhandlere får et rettslig ansvar for manglende IKT-sikkerhet og personvern i produkter de selger.

Atferdsbasert markedsføring

• Personvernkommisjonen deler Regjeringens syn på at atferdsbasert markedsføring mot barn bør forbys. Kommisjonen støtter også at bruken av særlige kategorier av personopplysninger til markedsføringsformål forbys. Forbudet bør også gjelde særlige kategorier av personopplysninger som er utledet fra data som ikke var sensitive ved innsamlingspunktet, for eksempel lokasjonsdata som sammenstilt kan avdekke politisk eller religiøs tilhørighet.

• Personvernkommisjonen anbefaler at ved et forbud mot adferdsbasert markedsføring som kun gjelder barn, må tjenesteleverandører pålegges et føre var-prinsipp. Det er ikke ønskelig med løsninger som fører til økt sporing og profilering for å kartlegge forbrukeres identitet og alder.

• Personvernkommisjonen anbefaler videre at bruk av barns personopplysninger til atferdsrettet markedsføring bør forbys. Barns personopplysninger bør ikke anvendes til atferdsrettet markedsføring, selv dersom markedsføringen ikke rettes mot barn.

Personvernkommisjonen har delt seg i et flertall og et mindretall i spørsmålet om et generelt forbud mot atferdsbasert markedsføring bør utredes:

• Personvernkommisjonens flertall, medlemmene Busch, Grande, Haugli, Hertzberg, Høyer, Myrstad, Schartum, Veum, Ytre-Arne og Aasberg, ønsker å fremheve at atferdsbasert markedsføring også kan være skadelig for befolkningen for øvrig. Av den grunn mener kommisjonens flertall at det bør utredes hvorvidt et generelt forbud er nødvendig for å beskytte norske og europeiske forbrukere. En slik utredning bør se på hvilke positive og negative konsekvenser et slikt forbud vil ha i Norge og i Europa, blant annet for medieindustrien.

• Personvernkommisjonens mindretall, medlemmene Moen og Næss, anser at atferdsbasert annonsering kan gjøres på ulike måter – forsvarlig og uforsvarlig. Medlemmene Moen og Næss mener at så lenge atferdsrettet markedsføring gjøres forsvarlig vil et generelt forbud være uforholdsmessig. Moen og Næss støtter derfor ikke flertallets forslag om at det bør utredes hvorvidt et generelt forbud er nødvendig.

Åpenhet og informasjon

• Personvernkommisjonen anbefaler at det stilles strenge informasjons- og åpenhetskrav til hvordan forbrukerne profileres og segmenteres ved målretting av annonser og politiske budskap. Det innebærer at næringsdrivende, organisasjoner og politiske partier er åpne angående hvilke budskap de sender ut, og hvem de forsøker å nå med budskapene. Plattformer som tilrettelegger for segmentering og profilering av forbrukerne bør også tilby verktøy for å vise hvilke annonser som vises på plattformen, og hvilke segmenter de bruker. Åpenhet er nødvendig for å avdekke urimelig eller skadelig påvirkning. Regjeringen bør arbeide for å få på plass slike krav gjennom EU.

Manipulerende design

• Personvernkommisjonen mener et forbud mot manipulerende design, som foreslått i DSA, vil styrke forbrukeres muligheter til å ivareta eget personvern på nett. Et slikt forbud bør kompletteres med håndheving av gjeldende forbrukerregelverk, samt med veiledere fra tilsynsmyndighetene som tydeliggjør grensedragningen mellom hva som vurderes som henholdsvis akseptabel og uakseptabel bruk av design. Et slik forslag bør forankres og sikres gjennom EU-samarbeidet.

Profilering, segmentering og diskriminering

• Personvernkommisjonen anbefaler at Likestillings- og diskrimineringsombudet bør samarbeide med Datatilsynet om å motvirke diskriminering som et følge av bruk av maskinlæringssystemer.

• Personvernkommisjonen anbefaler at virksomheter som bruker maskinlæringssystemer for å profilere og segmentere forbrukere bør rapportere hvordan de motvirker diskriminerende effekter i systemene. Offentlige myndigheter bør stille krav om slik rapportering ved anskaffelser og bevilgning av midler. Regjeringen bør arbeide for at slike krav blir en del av den kommende forordningen for kunstig intelligens og dets vedlegg.

Oljefondets investeringer

• Personvernkommisjonen anbefaler at det stilles krav til ivaretakelse av personvernet, i likhet med krav som stilles til ivaretakelse av andre grunnleggende menneskerettigheter, når Oljefondet investerer i teknologiselskaper.

• Personvernkommisjonen anbefaler at Oljefondet avstår fra å investere i selskaper som krenker personvernet, og som det ikke har mulighet til å påvirke, for eksempel på grunn av majoritetseiere.

Konkurranse

• Personvernkommisjonen anbefaler at Norge tar initiativ til, og leder, et internasjonalt arbeid for å utrede hvordan virkemidler i konkurranseloven kan anvendes for å forhindre negative personvernkonsekvenser ved oppkjøp og fusjoner. Utredningen må vurdere om konkurranseloven er innrettet slik at den kan håndtere utfordringene i dataøkonomien på en effektiv måte. Dette må også sees i forbindelse med innføringen av nye konkurranseverktøy under den kommende forordningen om digitale markeder (DMA).

• Personvernkommisjonen mener offentlige myndigheter bør stimulere til utvikling av løsninger og standarder for dataportabilitet og teknisk interoperabilitet. Forekomsten av slike løsninger er en forutsetning for sunn konkurranse i mange digitale vare- og tjenestemarkeder.

• Personvernkommisjonen mener det er en grunnleggende forutsetning for godt personvern at det skal straffe seg å bryte loven. Effektiv håndhevelse av personvernregelverket er derfor nødvendig for å etablere like spilleregler, og for å stimulere til innovasjon innenfor personvernfremmende teknologi.

• Personvernkommisjonen mener det er problematisk for personvernet at norske selskaper og globale teknologigiganter ikke opererer under like konkurransevilkår. Regjeringen må ta grep for å begrense gigantenes markedsmakt for å sikre like spilleregler, og slik tilrettelegge for innovasjon som støtter opp under personvernet.

Særlig om barns personvern

• Personvernkommisjonen anbefaler at Regjeringen nedsetter et lovutvalg for å gjennomgå og foreslå endringer i regelverk for å beskytte barn og unge i digitale flater.

• Personvernkommisjonen anbefaler at personvernutfordringer knyttet til innhold delt av foreldre og andre barn forebygges gjennom kompetanseheving, blant annet gjennom undervisning. Dette er et område hvor tiltak knyttet til nettvett og vurderingsevne er viktig.

• Personvernkommisjonen mener Barneombudet bør utvikle en veileder for barn og foreldre for å styrke forståelsen av barns rett til personvern i familiære forhold.