Nye trender i personvernrett i 2022
Mens nyhetsbildet preges av krise og krig, endrer teknologien verden på måter vi ikke aner. I en fersk rapport fra Det europeiske datatilsynet (EDPS) presenteres seks begreper som kan påvirke personvernet i tiden som kommer: digital euro, smarte vaksinepass, syntetiske data fra kunstig intelligens, Just Walk Out-teknologi, biometrisk autentisering og digital terapi.
Hver dag, nesten hvert minutt, er personvernet vårt og våre data i fare.
Om forfatteren:
Hver dag, nesten hvert minutt, er personvernet vårt og våre data i fare. Knapt noen gidder å lese vilkårene på nettsider lenger – vi aksepterer blindt de berømmelige informasjonskapslene. Men det går mye lengre enn det. Tenk deg at du slår på telefonen, som åpnes ved å gjenkjenne ansiktet ditt. Med denne telefonen går du inn i en butikk hvor det ikke er noen ekspeditører, bare kameraer og sensorer som registrerer hva du kjøper. Du forlater butikken med følelsen av at du har handlet gratis, men kontoen din er like fullt belastet, den kontoen der du har begynt å handle med kryptovaluta. Når du kommer hjem, tar du opp telefonen for å legge inn glukosedataene som kontrollerer diabetesen din. Siden du er på mobilen, benytter du anledningen til å sjekke om koronapasset er i orden, siden du har planer om å reise om kort tid. Alle disse dataene er kryptert, men kunstig intelligens kan sende dem til utlandet og utnytte dem.
Ansiktsgjenkjenning og teknologi som i science fiction
Det høres ut som en scene fra en science fiction-film. Men alt dette er tilgjengelige teknologier. Hver for seg gjør de livene våre bedre, men på sikt – eller kombinert – setter de likevel privatlivet vårt i fare. I tillegg til at de bidrar til en konstant følelse av å være overvåket. Flere av teknologiene som former og kan komme til å forme våre liv, beskrives i EDPS’ TechSonar 2021/2022-rapport. Rapporten fremhever seks teknologier som skaper bekymring for EU-forordningen om rett til egne data – GDPR. GDPR slår fast at «behandling av personopplysninger bør ha som formål å tjene menneskeheten». Lederen av EDPS, Wojciech Wiewiorowski, sier dette er «teknologier som bør overvåkes i dag for å sikre en bærekraftig digital fremtid hvor personopplysningene våre blir beskyttet på en effektiv måte».
Dette er de seks teknologiene som fremheves i TechSonar:
1. Smart vaksinasjonssertifikat
Løsningen er godt kjent for de fleste. Et virtuelt dokument på mobilen som gjør det mulig å vite om brukeren er vaksinert eller har gjennomgått covid-19.
2. Just Walk Out-teknologi
Butikker uten ansatte. Alt styres av kameraer og sensorer. Kunden kommer inn ved å skanne telefonen, tar det han eller hun vil ha fra hyllene, og går. Kjøpet belastes kundens forhåndsregistrerte kort.
3. Biometrisk gjenkjenning
Teknologi allerede kjent fra mobiltelefoner. Teknologien bekrefter brukerens identitet gjennom fingeravtrykk, ansiktsgjenkjenning eller lignende.
4. Digital terapi – DTx
Programvare, spesielt mobilapper, for å behandle og kontrollere ulike sykdommer som diabetes, Alzheimers eller depresjon.
5. Syntetiske data
Kunstige statistiske data laget med kunstig intelligens ut fra ekte datasett.
6. Digital valuta
De velkjente kryptovalutaene. Virtuelle eller digitale valutaer kontrollert av databaser kjent som «blockchain».
En nærmere beskrivelse av de seks teknologiene finner du nederst i saken.
Datatilsynet gir ikke blankofullmakter
Datatilsynene i Europa vurderer ikke ny teknologi på forhånd, men behandler klager på mulige brudd på personvernbestemmelser og gjennomfører tilsyn. Tobias Judin, leder for internasjonal seksjon ved det norske Datatilsynet, sier han og tilsynet er svært bevisst farene med de teknologiene som rapporten advarer mot.
– Nye teknologier på trappene behandler ofte personopplysninger på nye måter. Slike teknologier kan føre til at personopplysninger behandles i større grad enn før, for nye slags formål, eller i sammenhenger der man tidligere ikke behandlet personopplysninger. Da oppstår det også en rekke rettslige spørsmål, for eksempel om man har lov til å bruke data på denne måten, om man kan minimere databruken, om informasjonen til brukerne er tilstrekkelig og om dataene er godt nok beskyttet mot sikkerhetsbrudd, sier Judin.
Han mener vi allerede har et godt personvernregelverk i GDPR:
– De som behandler personopplysningene, har plikt til å sette seg inn i reglene og opptre ansvarlig. Derfor handler mye om å bevisstgjøre de der ute om hvilke forpliktelser de har. Samtidig pålegger GDPR oss tilsynsmyndigheter å holde oss oppdatert på teknologi og forretningsmodeller, slik at vi kan forstå risikoene og håndheve loven.
Datatilsynet forhåndsgodkjenner ikke teknologiske løsninger, men de kan uttale seg om hvilken risiko de ser at behandling av personopplysninger kan medføre.
Smittestopp-stoppen
Datatilsynet forhåndsgodkjenner ikke teknologiske løsninger, men de kan uttale seg om hvilken risiko de ser at behandling av personopplysninger kan medføre. Som kjent stanset Datatilsynet den første utgaven av appen Smittestopp. Tilsynet uttalte seg også om koronasertifikat i den offentlige høringen. Høringsuttalelsen var stort sett positiv, men pekte på enkelte utfordringer, spesielt knyttet til formålsangivelsen og muligheten for diskriminering. «Det er reguleringen av bruksområdet som i størst grad vil kunne utfordre sentrale menneskerettigheter, herunder retten til privatliv, bevegelses- og forsamlingsfrihet og vern mot diskriminering. Selv om bruk av koronasertifikat er frivillig, vil frivilligheten som nevnt i mange tilfeller ikke oppleves som reell», står det i høringsuttalelsen.
Personvern skal være en del av designet
At teknologer og jurister har et felles språk kan være nøkkelen til å utvikle teknologi som tjener menneskeheten
– Malgorzata Agnieszka Cyndecka
Smart vaksinasjonssertifikat, Just Walk Out, biometrisk gjenkjenning, digital terapi – DTx, syntetiske data og data laget med kunstig intelligens kan alle være tvilsomme fra et juridisk synspunkt. Førsteamanuensis Malgorzata Agnieszka Cyndecka ved Det juridiske fakultetet i Bergen er spesialist på personvern. Hun minner om at databeskyttelse eller personvern alltid må være til stede «fra begynnelsen av», det vil si allerede når en ny teknologi planlegges og designes. – Personvern skal også være en standardinnstilling, sier Cyndecka. Det vil være til fordel for begge parter, det vil si den behandlingsansvarlige, som har valgt ut en aktuell teknologi for å oppnå et formål som forutsetter behandling av personopplysninger, og den registrerte, det vil si den som får sine personopplysninger behandlet. Hvis det ikke blir tatt hensyn til personvernet i tide, kan det senere bli enten umulig eller svært kostbart å tilpasse teknologien til personvernet.
Cyndecka påpeker at det ved behandling av personopplysninger ikke kan kreves at risikoen for brudd på personvern reduseres til null, men at risikoen alltid må vurderes og reduseres til akseptable nivåer. – Er det umulig, må man i verste fall droppe den tiltenkte teknologien, eller så kan den bli forbudt av det aktuelle datatilsynet, sier Cyndecka.
Cyndecka minner om at GDPRs regulering er teknologinøytral. GDPR regulerer ikke spesifikke teknologier og heller ikke kunstig intelligens. – Jeg ville være forsiktig med å påstå at personvernregelverket ikke beskytter oss godt nok mot personverninngripende teknologier. Dårlig beskyttelse kan snarere skyldes mangel på god forståelse av GDPR, manglende etterlevelse eller manglende forståelse av potensialet til en ny teknologi, sier hun, men løsningen er tett samarbeid mellom advokater og utviklere.
– At teknologer og jurister har et felles språk kan være nøkkelen til å utvikle teknologi som tjener menneskeheten, sier Cyndecka.
Europa vs. Kina
I denne serien har vi spurt om personvernet kan overleve koronakrisen, og vi har i stor grad kommet frem til at svaret er ja – i Norge og Europa. Det er i stor grad takket være GDPR. I Europa kan nok databeskyttelsen være under press på grunn av de mange krisene de siste årene. Det kan derfor være nyttig å se ting i et større perspektiv. Den globale pandemien har for eksempel endret personvernsituasjonen i Kina. Der har koronakrisen utfoldet seg ganske annerledes enn her hjemme i Norge og Europa. Kina har levd mer lukket. Det forteller Professor i Kina-studier ved Institutt for kulturstudier og orientalske språk Heidi Østbø Haugen, ved Universitetet i Oslo.
– Kina står midt i koronakrisen nå. Smittetallene er høyere enn noen gang, og tiltakene er strengere enn på lenge, sier hun.
– Koronatiltakene har først og fremst vært gjennomført gjennom bruk av eksisterende strukturer. Hverdagslivet i Kina er mye mer basert på mobiltelefon enn i Norge og myndighetene har gode muligheter til å regulere folks informasjon og tjenester ved å regulere internettbruken.
Tiltakene Kina innførte omfatter temperaturkontroll og koronapass, men fremfor alt, testing, isolering og portforbud der det finnes smitte. En hel bydel eller by stenges ned når man finner ett eneste smittetilfelle.
– Folk støtter stort sett nullvisjonen for korona, og dette innebærer sterkere restriksjoner. Det ser ut til at noen av disse tiltakene ville være umulige i Europa, men portforbud var jo utenkelig i mange deler av Europa da man innførte det i Wuhan, og slik er det med flere andre tiltak også, sier Østbø Haugen.
Kina har ikke noen form regulering som ligner på GDPR, selv om også Kina har regler som regulerer databehandling.
– Private aktører blir nå regulert strengere enn før, som da taxi-appen Didi ble stengt på grunn av personvern, sier Kina-viteren.
Positive sider ved teknologiene
Ny teknologi utvikles ikke for å angripe våre grunnleggende rettigheter. Tvert imot, den utvikles for å gjøre livene våre enklere.
Derfor er det viktig å se det positive med teknologi også, og ikke bare truslene, sier Lise Randeberg, professor i biomedisinsk optikk og fotonikk ved NTNU og leder for fagforeningen Akademikerne.
«Just Walk Out» er et konsept med butikker uten medarbeidere, men med kameraer og sensorer. Kundene kan bare komme inn, ta det de trenger og gå ut av butikken uten å gå gjennom en kasse, fordi pengene trekkes automatisk fra kredittkortet.
– Just Walk Out-teknologi fascinerer meg fordi jeg elsker sensorer, det er fantastisk teknologi med mye god dataanalyse, sier Randeberg. Men samtidig forstår hun juristenes bekymring for personvernet:
– Vi må sørge for god databeskyttelse. I Just Walk Out-butikkene oppbevares informasjonen i 30 dager, og det er bekymringsfullt. Men som fan av sensorer sier jeg: Det er kult at det går an!
Ny teknologi utvikles ikke for å angripe våre grunnleggende rettigheter. Tvert imot, den utvikles for å gjøre livene våre enklere.
Jurister og teknologer må snakke sammen
Teknologen Randeberg sier – i likhet med juristen Cyndecka – at løsningen er at juristene og teknologene må snakke samme språk. Slik skaper man en god utviklingsprosess.
Vi teknologer jobber alt for lite med jurister. Det burde være mer tverrfaglighet.
– Lise Randeberg
– Vi teknologer jobber alt for lite med jurister. Det burde være mer tverrfaglighet. Juristene jobber med det som vi har lov til å gjøre eller ikke, men de som programmerer, må tolke det. De må jobbe sammen. Vi fikk en god erfaring i utviklingen av smittestopp-appen. Den første versjonen var en flopp, men for å lage den andre versjonen, ble det beste av det norske IT-miljøet brukt – eksperter som kunne garantere anonymitet.
Et annet godt eksempel på et samarbeid som fungerte, var utviklingen av det norske koronapasset.
– FHI har åpen utvikling. Koden deles, man holder den ikke hemmelig, og det går an å kontrollere. FHI har lært masse av erfaringen med smitteappen, sier Randeberg.
Ansiktsgjenkjenning og syntetiske data
Noen av de seks trendene i TechSonar-rapporten bekymrer også Randeberg. Hun er blant annet skeptisk til bruk av biometri i butikker:
– Vi er vant til å bruke det på telefoner, men å bruke ansiktsgjenkjenning til å betale er noe annet. Det er inngripende.
Hun fremhever derimot fordelene med syntetiske data, det vil si tilfeller der man har lite data tilgjengelig og med kunstig intelligens lager nye data som er ikke virkelige, men som simulerer originalen.
– Det er kjempebra i situasjoner når man har lite data. For eksempel medisinsk teknologi. Vi bruker det til å trene maskiner, til å lage en algoritme. Jeg jobber med lyssensor på hud. Vi trenger å samle modeller av forskjellige typer hud, men det er ikke lett å skaffe det. Det er vanskelig å finne utvidet data, og det er derfor man simulerer ulike typer hud med syntetiske data. Slik unngås problemene knyttet til personvern, sier Randeberg.
Nærmere om de seks teknologiene analysert i TechSonar
1. Smart vaksinasjonssertifikat - koronapass.
Vi er nå i en ny fase av pandemien, hvor smittetiltakene reduseres. Men ett av tiltakene, koronapasset, eller Smart Vaccination Certificates (SVC), ser ut til å være kommet for å bli, i hvert fall når det gjelder internasjonale reiser. Bruken av koronapass for å få tilgang til steder som konserter, kaféer og kinoer er mer kontroversiell, og forskjellige land har ulik praksis. I Frankrike, Hellas og Italia må man ha koronapass for å få tilgang til restauranter og kaféer, mens det for eksempel i Norge ikke er nødvendig. EU har foreslått at det digitale koronasertifikatet skal være i bruk frem til 3. juni 2023. Mange håper at det likevel vil være mulig å aktivere sertifikatet igjen i forbindelse med eventuelle nye pandemier.
Bruken av koronapass for å få tilgang til steder som konserter, kaféer og kinoer er mer kontroversiell, og forskjellige land har ulik praksis.
Det europeiske datatilsynet (EDPS) trekker frem at fordelen med SVC er den enkle tilgangen til helsedata samt interoperabilitet mellom land. En utfordring er at det kan være situasjoner hvor programvaren ikke er i samsvar med de strenge reglene for databeskyttelse.
FHI foretok en risikoanalyse av koronapasset i juni 2021. Noen av konklusjonene fra FHIs rapport var at det vil være «nærliggende å tro at utenlandske etterretningsmiljøer vil være spesielt opptatt av hvordan de kan benytte koronasertifikatet til å blant annet få tak i personlig informasjon om norske innbyggere (…) Organiserte kriminelle vil sannsynligvis også være interessert i å få tak i personlig informasjon for økonomisk vinning da helseinformasjon har fått økt verdi blant kriminelle på ulike digitale plattformer som kriminelle benytter seg av. Organiserte kriminelle vil sannsynlig ha som mål å hente ut persondata som er lagret i den nye digitale koronasertifikatløsningen gjennom sofistikerte digitale angrep.»
Anna Nylund, professor i rettsvitenskap ved det juridiske fakultet ved Universitetet i Bergen, foretok allerede i april 2021 en juridisk analyse av koronapasset på Juridika. Nylund skrev at «en app som knytter brukeren til helseopplysninger er et stort skritt bort fra prinsippet om at helserelatert informasjon skal beskyttes godt. Selv om vaksinasjonsstatus virker som meget begrenset og uskyldig informasjon, vil det kunne skape presedens og kunne være avgjørende ved neste korsvei. Flere IT-bedrifter, deriblant IBM, ønsker å bidra i utviklingen av en korona-app. Grunnen er antakelig ikke bare altruistisk – appen åpner for at IBM får tilgang til informasjon som de kan bruke for å utvikle artifisiell intelligens for helsevesenet.»
Nå, ett år senere, sier Nylund at hun står ved det hun sa den gangen.
En app som knytter brukeren til helseopplysninger er et stort skritt bort fra prinsippet om at helserelatert informasjon skal beskyttes godt.
– Anna Nylund
– Selv om koronapasset ble tatt i bruk for nesten et helt år siden, mangler vi fortsatt studier som tyder på at det faktisk virker i å holde smitten nede eller samfunnet mer åpent. Forslagene i høringsbrevet om utvidelse og forlengelse av reglene om koronasertifikat i smittevernloven tyder på en formålsutglidning, der man ønsker å innføre en generell mulighet til å bruke koronasertifikatet til å dele inn folk etter vaksinasjonsstatus. Dette gjøres uten at regjeringen argumenterer for hvorfor det er grunn til å tro at koronasertifikatet på generelt grunnlag er et effektivt og egnet virkemiddel for å hindre alvorlig koronasykdom.
Gigantiske Amazon har vært den første som har lansert Just Walk Out-teknologi (JWO) gjennom sitt Amazon Go-prosjekt. De har blitt fulgt av Alibaba Hema. Slike butikker har ennå ikke kommet til Norge, men noen løsninger nærmer seg; du skanner produktene selv mens du handler, og når du går, er det bare å dra kortet og gå ut av butikken. Den store forskjellen er at det i JWO-butikker er et stort antall kameraer som registrerer hver bevegelse du gjør. JWO er basert på kunstig intelligens, bildegjenkjenning og sensorer. Amazon selger sin strategi til andre kjedebutikker, og konseptet vil trolig spre seg i løpet av kort tid.
TechSonar advarer om at konstant overvåkning blir normen og at det aksepteres som normalt.
EDPS fremhever i sin rapport at det er positivt at de ennå ikke har oppdaget noen risiko for brudd på databeskyttelse med denne teknologien, men at alt avhenger av den videre utviklingen. Samtidig trekker tilsynet frem særlig to negative sider ved bruken av JWO-teknologi: den psykiske belastningen det kan være å bli konstant overvåket, og personvernet til mindreårige som er med foreldrene på handletur. Teknologiutviklerne hevder at dataene slettes etter 30 dager, men det er ennå ikke klart hva som gjøres med dataene i løpet av den tiden, og om de kan brukes til aggressive markedsføringskampanjer.
TechSonar advarer om at konstant overvåkning blir normen og at det aksepteres som normalt. «Faktisk kan folk bli vant til denne teknologien og lett komme til å godta den også til andre formål», står det i TechSonar-rapporten.
3. Biometrisk kontinuerlig gjenkjenning
De fleste låser opp mobiltelefonen med ansiktsgjenkjenning. Dette kalles biometrisk autentisering, en sikkerhetsprosess som bruker våre unike biologiske egenskaper for å bekrefte at vi er den vi sier at vi er. Biometriske autentiseringssystemer sammenligner fysiske eller atferdsmessige egenskaper med autentiske data som er lagret og bekreftet i en database.
Det er mye lettere å få urettmessig tilgang til data beskyttet av et passord som kan stjeles, enn til data beskyttet av ansiktsgjenkjenning.
EDPS ser mange fordeler med denne teknologien. Én fordel er økt sikkerhet for datatilgang. Det er mye lettere å få urettmessig tilgang til data beskyttet av et passord som kan stjeles, enn til data beskyttet av ansiktsgjenkjenning. En annen fordel er bedre brukeropplevelse, fordi brukeren opplever at tjenester blir enklere å bruke. Det er lettere å vise ansiktet enn å huske mange forskjellige passord.
Men ansiktsgjenkjenning innebærer også mange og betydelige risikoer, særlig at teknologien kan brukes til andre formål, for eksempel sporing av personer. Bruken kan føre til at folk opplever at de blir overvåket og potensielt sett sporet og dette kan føre til at folk endrer sin normale oppførsel. Gjennomsiktigheten i disse teknologiene er mangelfull, noen ganger informerer man ikke brukeren om at de lagrede gjenkjenningsdataene også kan brukes til å trene kunstig intelligens-algoritmer.
Digital terapi, eller DTx, er det allerede mange som bruker. Migrenepasienter kan registrere hodepinen i en app for å overvåke om den blir kronisk. Også pasienter med diabetes, Alzheimers, depresjon, overvekt eller andre kroniske plager som krever jevnlig overvåking, kan registrere plagene i ulike apper. Det finnes også applikasjoner for å slutte å røyke eller for å ha oversikt over menstruasjonssyklusen. Utvalget er bredt. EDPS advarer om at slike apper utgjør en betydelig fare for personvern og databeskyttelse fordi det fortsatt ikke finnes noen særskilt lovgivning for denne typen teknologi. På europeisk nivå har man forordning (EU) 2017/745 om klinisk forskning og salg av medisinsk utstyr til menneskelig bruk, men den fokuserer ikke på elektronisk utstyr. Noen land har egne forskrifter for slik teknologi, for eksempel Tyskland og Frankrike.
TechSonar-rapporten fremhever at DTx-appene er svært komplekse systemer som kan ha feil.
EDPS advarer om at DTx-applikasjonene skaper en detaljert profil av brukeren som kan brukes i andre sammenhenger. I tillegg er det snakk om spesielt sensitiv informasjon, så en eventuell krenkelse av personvernet kan få alvorlige konsekvenser for brukeren. TechSonar-rapporten fremhever at DTx-appene er svært komplekse systemer som kan ha feil.
Konseptet med syntetisk datagenerering er å ta en original datakilde og bruke kunstig intelligens til å lage nye kunstige data med statistiske egenskaper som ligner på de første. Å opprettholde statistiske egenskaper betyr at alle som analyserer de syntetiske dataene, for eksempel en dataanalytiker, skal kunne trekke de samme statistiske konklusjonene fra et gitt syntetisk datasett som de ville gjort hvis de hadde de virkelige (originale) dataene.
Å opprettholde statistiske egenskaper har fordeler når det gjelder databeskyttelse. Syntetiske data tillater opplæring av kunstig intelligens-modeller på en måte som er mindre inngripende for folks personvern fordi dataene som brukes i opplæringsprosessen ikke direkte refererer til en identifiserbar person. Slik teknologi vil for eksempel gjøre det lettere å sende data utenfor EU eller til organisasjoner som ikke trenger å identifisere en bestemt person. TechSonar peker imidlertid på risikoen for å kunne gjenidentifisere den opprinnelige brukeren, og derfor vil slik teknologi fortsatt utgjøre en risiko for personvernet.
Syntetiske data tillater opplæring av kunstig intelligens-modeller på en måte som er mindre inngripende for folks personvern fordi dataene som brukes i opplæringsprosessen ikke direkte refererer til en identifiserbar person.
De fleste har allerede hørt om Bitcoin og andre digitale valutaer. Den europeiske sentralbanken har begynt å jobbe med sin egen digitale valuta, Digital Euro (på engelsk «central bank digital currency» eller CBDC). Tanken er å tilby valgmuligheter til en verden der betaling i kontanter ikke lenger er foretrukket, noe som gir sikkerhet for Den europeiske sentralbanken. På nettsiden deres om Digital Euro, se lenken over, opplyser sentralbanken at respekt for personvern vil stå sentralt i utviklingen, som startet allerede høsten 2021 og vil ta rundt to år. Banken ønsker å gå bort fra konseptet «kryptovaluta» fordi de vil at brukeren skal ha samme tillit til Digital Euro som til euro i kontanter. Ifølge banken er «kryptovaluta fundamentalt forskjellig fra sentralbankpenger: Prisen på kryptovaluta svinger ofte sterkt, noe som gjør dem vanskelige å bruke som betalingsmiddel eller kontovaluta, og det er ingen offentlige institusjoner som støtter dem».
EDPS er fortsatt skeptisk til Digital Euro, men bare fordi den fortsatt er i en veldig tidlig fase av prosjektet. Tilsynet antar at CBDC vil ha strenge løsninger for databeskyttelse, fordi risikoen er høy. Betalingsdata avslører svært sensitive sider ved en person, og kan brukes ulovlig til for eksempel kredittvurdering. Misbruk av betalingsdata kan føre til manglende tillit fra brukerne, og brukertillit er et must for en ny type valuta.
Banken ønsker å gå bort fra konseptet «kryptovaluta» fordi de vil at brukeren skal ha samme tillit til Digital Euro som til euro i kontanter.
Les mer om personvern på Juridika:
Bøker:
Taushetsplikt i forvaltningen av Jon Svergdrup Efjestad og Camilla Selman
Skjulte tvangsmidler, 2. utg., Ingvild Bruce og Geir Sunde Haugland
Innsikt-saker:
Podkast-episoder: