Personvern – vårt felles ansvar
Man skulle tro at personvernet var bestandig – noe uavhengig av tid og for så vidt rom; en del av de grunnleggende rettighetene som må og skal stå, også i skiftende tider. Slik man må forvente av en rettighet som er så vel grunnlovsfestet som garantert gjennom Den europeiske menneskerettskonvensjonen.
Det er åpenbart at verken Stortinget eller regjeringen har følt seg trygg på dette. I mandatets første del understrekes det at utviklingen av digitale løsninger, ja; internett i seg selv, innebærer en utfordring. «Presset mot personvernet blir sterkere som følge av økt bruk av digitale løsninger og internett», skriver regjeringen i teksten som har vært vårt oppdragsdokument.
Digitaliseringen er utvilsomt det mest omseggripende og samfunnsendrende som har møtt oss de siste tjuefem årene. I svært mye, ja antakelig i det aller meste, framstår digitaliseringen som et gode. Et redskap som fører mennesker sammen. Fjerner avstand og skaper fantastiske møteplasser. Effektiviserer og skaper innovasjon. Åpner uante muligheter innen alt fra offentlig forvaltning til forskning, helsebehandling og næringsliv. For å nevne bare noe.
Men nettopp fordi digitaliseringen for de fleste av oss framstår som et positivt kvantesprang ikke bare i vår egen, gjenkjennelige hverdag – men i samfunnet som helhet, har det kanskje vært vanskelig å se – enn si; anerkjenne, at det finnes skyggesider. Ikke de skyggesider som alle er smertelig klar over – når digitaliseringen brukes til samfunnsnedbrytende virksomhet, undertrykkelse og kriminell virksomhet. Nei, at det også i «det godes tjeneste» kan utvikles skyggesider.
I samtale med elever i grunnskolen som vi har deltatt i kom det fram at elevene er lei av å snakke om personvern som noe som handler om pekefingre og forbud. De unge ønsker en åpen og reflektert samtale om hvordan personopplysninger samles inn, hva det brukes til, hvordan det påvirker oss og hvilke effekter det har på samfunnet. Slike samtaler forutsetter en bredere diskusjon om hva personvern betyr for samfunnet som helhet, og hva vi risikerer å miste dersom personvernet ikke ivaretas.
Etter Personvernkommisjonens syn er det på høy tid at diskusjoner rundt personvern løftes ut fra ekspertsirklene og gjøres til et relevant og viktig spørsmål i samfunnsdebatten og på Stortinget. For at dette skal kunne skje, må personvernet anerkjennes som en grunnleggende menneskerettighet med selvstendig egenverdi.
Krigen i Europa understreker også personvernets betydning som bærende i demokratiet. Vi ser at krefter som ønsker å undergrave demokratiske rettigheter, også aktivt utfordrer personvernet. Respekten for personvern er uløselig bundet sammen med nivået av demokratiforståelse og respekt for grunnleggende rettsstatsprinsipper.
Personvernet må forstås og vurderes i positiv forstand, som en verdi som er verdt å beskytte, framfor en bremsekloss eller et nødvendig onde, som må hensyntas for å unngå sanksjoner.
Personvernkommisjonen mener det er en gjennomgående tendens at digitaliseringen av samfunnet i for stor grad skjer på bekostning av personvernet. Vi ser eksempler på det på område etter område som vi har tatt for oss.
Det trenger ikke være slik. Ofte står vi overfor valg om hvordan digitaliseringen skal skje, og teknologi og data kan brukes på en god måte. Det forutsetter kompetanse, ressurser, prioritering – kort sagt; helhetlig tenkning.
Det vi trenger er rett og slett en nasjonal personvernpolitikk. En politikk som må ha som overordnet mål å sørge for et sterkere personvern. Politikken må gi føringer på tvers av sektorer, med det formål at innbyggernes personvern ivaretas. Det innebærer både helhetlige overordnede prinsipper, men også en sektorvis tilnærming som for eksempel gjennomføres gjennom respektive direktorater og/ eller departementer.
Utviklingen av politikken må være basert på åpne samfunnsdebatter om prinsipielle spørsmål knyttet til hvilket samfunn vi vil ha, herunder hvor store inngrep i personvernet innbyggere må tåle, for eksempel med hensyn til ønsker om effektiv forvaltning eller for å oppklare kriminalitet.
En nasjonal personvernpolitikk må innebære at offentlig sektor går foran. Offentlige aktører har et ansvar for å holde en høy standard.
Personvernkommisjonen mener blant annet at offentlig sektor må ta i bruk sin innkjøpskraft for å stimulere til fremveksten av personvernvennlige produkter og tjenester. Det bør gis føringer om hvordan personvern skal vektes i anskaffelser. Det må også settes av tilstrekkelige ressurser i forvaltningen, for å motvirke at personvernet tilsidesettes av økonomiske grunner.
Et helt sentralt område i personvernpolitikken må være oppvekstsektoren. Personvernkommisjonen er svært bekymret for situasjonen til de yngste. Viktig digitalisering av skoler og barnehager har skjedd i løpet av kort tid og innebærer store fordeler, men har skjedd uten at konsekvensene for personvernet er blitt skikkelig vurdert. Ivaretagelse av personvern krever betydelig kompetanse og god forståelse av kompliserte juridiske og teknologiske problemstillinger, samt kontinuerlig oppfølging. Nødvendig kompetanse og ressurser er i stor grad fraværende i oppvekstsektoren. I samtaler med høyst ulike kommuner har vi avdekket at problemene er gjenkjennelige, i store så vel som små og mellomstore enheter.
En hovedutfordring er etter vår mening at tilgang til sentrale føringer og veiledning for hvordan elevenes personvern skal ivaretas på best mulig måte, i det alt vesentlige er fraværende. Dette er det etter vår mening nødvendig å få på plass for å avhjelpe situasjonen.
I praksis har vi endt opp i situasjon hvor tjenesteleverandører, ofte globale kommersielle aktører, legger premissene for hvordan barnas personvern blir ivaretatt. Det er etter vår mening alt annet enn tilfredsstillende. Dette er en bekymring vi åpenbart deler med flere. De fleste fikk med seg at det danske Datatilsynet tidligere i sommer forbød kommunene å bruke Chromebook – nettopp under henvisning til personvernet. I EU er dette nå et tema som diskuteres i stadig sterkere grad.
Vi registrerer at det i skolen ofte er lærerne som ender opp med å velge hvilke verktøy de skal benytte seg av i undervisningen. Ofte brukes gratisapper for å bøte på manglende ressurser. Disse verktøyene går ikke gjennom kommunens anskaffelsesbudsjett – og det foretas ikke vurderinger av personvernrisiko før verktøy tas i bruk.
Spesielt er vi bekymret for innsamling og bruk av personopplysninger som kommersielle aktører kan gjøre gjennom disse verktøyene. Det er avgjørende fremover at kommunene sørger for konkrete vurderinger av alle verktøy som benyttes i skolen. Verktøy der kommersielle aktører samler og bruker data til å bygge og berike egne profiler og virksomhet, bør ikke benyttes i oppvekstsektoren.
Den nasjonale personvernpolitikken for oppvekstsektoren må etter vår mening:
Sette kommuner, skoler og barnehager i stand til å bruke digitale tjenester og læringsverktøy på en måte som ivaretar barn og unges personvern.
Sørge for at barns rett til utdanning og rett til vern av personopplysninger ivaretas, samtidig som kommunalt selvstyre og metodefrihet i skoler og barnehager bevares.
Stille tydelige krav til kvaliteten på digitale tjenester også når det kommer til personvern.
Innebære konkrete krav slik at leverandører av tjenester til skole- og barnehagesektoren ikke kan benytte forretningsmodeller som profitterer kommersielt på barnas personopplysninger. I praksis betyr dette at det ikke er akseptabelt å benytte leverandører som forbeholder seg retten til å bruke data til kommersielle formål, særlig markedsføringsaktiviteter.
For å sikre at dette blir en realitet, mener vi at det bør utvikles en digital tjenestekatalog som kan bistå kommunene i anskaffelsesprosesser. Dersom eksisterende verktøy ikke ivaretar personvernet på en tilfredsstillende måte, må statlige myndigheter investere i utvikling av nye, forsvarlig løsninger. Personvernkommisjonen anser at det kan være hensiktsmessig å gjøre slike investeringer i europeisk eller nordisk regi.
Ved bruk av inngripende metoder i justissektoren vil det i mange tilfeller være snakk om å bekjempe alvorlig kriminalitet, inkludert vold, terror, drap og seksuelle overgrep. Dette er formål som gjør at inngrep ofte vil regnes som nødvendige og viktige. Men også da er det en forutsetning at personvernet ivaretas. Dette gjelder både for involverte parter i en kriminalsak – og for befolkningen som helhet.
I en god rettsstat må verdier og kryssende hensyn veies mot hverandre. Hvordan og hvor grundig man utfører en slik interesseavveining, på både systemnivå og i hver enkelt sak, sier noe om rettsstatens kvalitet.
I merknadene til politiregisterloven § 1 (lovens formål) heter det: «I de tilfellene der hensynet til personvern og hensynet til kriminalitetsbekjempelsen ikke kan forenes, er utgangspunktet at hensynet til personvernet må vike.»
Denne betraktningen, om at bekjempelse av kriminalitet har forrang ved en konflikt med personvernet, er kommisjonen ikke enig i. Hvordan ulike interesser vektes, vil være avgjørende for hvilken løsning som velges. Når interesser står mot hverandre, kan ikke utgangspunktet være at personvernet alltid må vike.
Blant tiltakene vi foreslår i justissektoren er følgende:
Personvernkommisjonen anbefaler at det nedsettes et utvalg for å utrede metodebruken i justissektoren. Utvalget bør særlig vurdere personvernkonsekvenser av politiets metoder, særlig sett opp mot formålsprinsippet og proporsjonalitetsprinsippet. Dette arbeidet forutsetter at utvalget gis tilgang på nødvendig informasjon om bruken av inngripende metoder og skjulte tvangsmidler. Våre erfaringer tilsier at dette må komme klart fram i utvalgets mandat. Dette er viktig både som et tillitsbevarende tiltak, og for å reise en åpen og demokratisk debatt om hvor grensen mellom personvern og kriminalitetsbekjempelse og forebygging bør gå.
Personvernkommisjonen mener det bør vurderes om domstolskontrollen av politiets tiltak bør utvides til å omfatte flere tiltak enn i dag.
Personvernkommisjonen mener det er avgjørende med åpenhet og muligheter for kontroll ved anskaffelser i justissektoren. Ved anskaffelse av potensielt inngripende verktøy må personvernvurderinger være en sentral del av beslutningsgrunnlaget.
Personvernkommisjonen anbefaler et generelt forbud mot bruk av ansiktsgjenkjenning og annen biometrisk fjernidentifikasjon i offentlige rom. Et slikt forbud vil åpenbart begrense mulighetene for oppklaring av enkelte former for kriminalitet, men etter kommisjonens syn er teknologien så inngripende at det vanskelig kan forenes med grunnleggende rettigheter og samfunnsverdier.
Personvernkommisjonen mener at dersom det igangsettes tiltak som innebærer masseinnsamling av personopplysninger for nærmere angitte formål, er det viktig at prinsipper om dataseparasjon følges for å sikre at data kun benyttes til formål lovgiver har vurdert det nødvendig for.
Videre ser Personvernkommisjonen det som avgjørende at Datatilsynet utfører jevnlige kontroller på justisområdet.
Den digitale forbrukerhverdagen preges av en gjennomgående makt- og informasjonsasymmetri. I praksis oppfatter Personvernkommisjonen at muligheten for forbrukere til å ivareta eget personvern er svært begrenset.
Det faktum at man på så å si alle digitale arenaer – private så vel som offentlige – daglig må godkjenne cookiebannere for å komme videre og nyttiggjøre seg av de tjenester man søker, bidrar etter personvernkommisjonens side snarere til å svekke enn styrke forståelsen for personvernet.
Personvernkommisjonen anser spesielt at store deler av det digitale annonsesystemet i dag er ute av kontroll, hvor en betydelig innsamling og deling av folks personopplysninger til potensielt tusenvis av selskaper skjer i sanntid hver eneste dag. Disse opplysningene brukes blant annet til å lage digitale profiler som igjen kan brukes til å målrette budskap, endog mot mennesker i sårbare livssituasjoner.
Personvernkommisjonen deler regjeringens syn på at adferdsbasert markedsføring mot barn bør forbys. Personvernkommisjonens støtter også at bruken av særlige kategorier av personopplysninger til markedsføringsformål forbys.
Personvernkommisjonen har delt seg i et flertall og et mindretall i spørsmålet om et generelt forbud mot adferdsbasert markedsføring bør utredes. Personvernkommisjonens flertall ønsker en slik utredning.
Personvernkommisjonens mindretall mener at adferdsbasert annonsering kan gjøres på ulike måter – forsvarlig og uforsvarlig. Både flertallet og mindretallet understreker at digital markedsføring er viktig for å finansiere fri, uavhengig journalistikk. Dette må hensyntas ved fremtidig regulering.
Kommisjonen er bekymret for at informasjonsinnsamlingen som foregår kan bidra til diskriminering og manipulasjon. Det ligger en betydelig fare på mange plan dersom informasjon fra brukernes digitale adferd brukes til å skreddersy alt fra kommersielle henvendelser til spredning av politiske budskap.
Personvernkommisjonen anbefaler at det stilles strenge informasjons- og åpenhetskrav til hvordan forbrukere profileres og segmenteres ved målretting av markedsføring og politiske budskap. Det innebærer at næringsdrivende, organisasjoner og politiske partier er åpne angående hvilke budskap de sender ut, og hvem de forsøker å nå med budskapene. Plattformer som tilrettelegger for segmentering og profilering av forbrukere, bør også tilby verktøy for å se hvilke annonser som vises til brukerne, og hvordan segmenteringen foregår. Åpenhet er nødvendig for å avdekke urimelig eller skadelig påvirkning.
Norske myndigheter har gjennom flere strategier uttrykt at personvern bør være en konkurransefordel. I dag er situasjonen omvendt – utstrakt innsamling og bruk av personopplysninger fører ofte til store konkurransefordeler.
Det er ofte kostbart og komplisert for mindre næringsaktører å sørge for overholdelse av både personopplysningsloven og personvernprinsippene, da det er utfordrende å for eksempel sikre seg at tredjepartsleverandører opererer innenfor regelverket. Som et resultat av at de største selskapene ofte unngår håndheving, samtidig som mindre aktører har store utfordringer med etterlevelse, svekkes innovasjon innenfor personvernfremmende teknologi, og mindre aktører skvises ut av markedet. Mangelen på like spilleregler innenfor utvikling og bruk av forbrukertjenester er dermed en grunnleggende utfordring for personvernvennlige og personvernfremmende forbrukertjenester.
Personvernkommisjonen mener at det er problematisk for personvernet at norske selskaper og globale teknologigiganter ikke opererer under like konkurransevilkår. Norske myndigheter må ta grep og sørge for samarbeid for å begrense gigantenes markedsmakt gjennom å sikre like spilleregler, og slik tilrettelegge for innovasjon som støtter opp under personvernet.
Personvernkommisjonen anbefaler norske myndigheter å være aktiv i europeiske lovgivningsprosesser. Spesielt anser Kommisjonen at regjeringen bør arbeide for opprettelse av tilsynsmyndigheter på europeisk nivå med myndighet og ansvar for å sørge for effektiv håndhevelse av personvernregelverket ovenfor de globale plattformaktørene, tilsvarende bestemmelsene som er inntatt i Digital Markets Act (DMA).
Personvernkommisjonen mener Datatilsynet må styrkes gjennom økte ressurser. Samtidig er det ikke slik at personvernet utelukkende kan sikres gjennom en sterk sentral tilsynsmyndighet.
I tillegg til å styrke Datatilsynet vil Personvernkommisjonen derfor anbefaler at veiledning av behandlingsansvarlige også i andre offentlige organ styrkes, for å sikre at personvernet får den plass i bevisstheten i alle deler av forvaltningen som vi mener er påkrevd.
Kjære statsråd! Det var ikke din regjering som bestilte denne utredningen, som har blitt på 242 sider med 140 anbefalinger og tiltak – foruten to vedlegg levert eksterne utredere. Det er likevel din som får den! I dette ligger en tydeliggjøring som neppe var tilsiktet ved regjeringsskiftet: At personvernet ikke kan eies av noe parti eller noen politisk retning. Personvernet er en av bærebjelkene i enhver sivilisert, demokratisk rettsstat. Derfor håper jeg du og regjeringen vil sette seg godt inn i de beskrivelser og de anbefaler vi kommer med, og ta dem med videre i arbeidet for å skape et bedre og tryggere samfunn. Et samfunn hvor vi fortsatt kan være sikre på at grunnleggende rettigheter blir ivaretatt.