Datatilsynet utlyste i august 2017 konkurransen Innebygd personvern i praksis. Målet med konkurransen er å skape fokus på og få etablert personvernfremmende teknologi.
Innlegget er skrevet av Martha Eike og Veronica Jarnskjold Buer.
Digitaliseringsskrivet fra regjeringen sier at vi skal digitalisere så mye vi bare kan, og årsaken er vel mye effektivisering og kostnadsbesparing. EU er forenklet sagt en stor handelsavtale, og kommisjonen forventer en omsetning på 75 milliarder Euro innen 2020 på dine og mine data. Da er det utrolig viktig at vi får en ny lov og ny personvernforordning. Loven er viktig for at vi fremover skal kunne ha personvernfremmende teknologi som ivaretar våre rettigheter og våre friheter. For det er en kjensgjerning at driveren for digitalisering og effektivisering er økonomi, og ikke først og fremst til det beste for ditt og mitt personvern. Derfor er det så viktig at teknologi som utvikles, automatiserte prosesser som tar beslutninger om oss eller kunstig intelligens har bygd og ivaretatt personvern i sine løsninger. Og akkurat det er nøkkelen til personvern i dagens og fremtidens teknologi, innebygd personvern og personvern som standardinnstilling.
Et av kravene i ny lovgiving er innebygd personvern og personvern som standardinnstilling. Teksten i personvernforordningen er vanskelig tilgjengelig, så derfor laget Datatilsynet en veileder på dette kravet som ble lansert samtidig i august 2017.
Alle som behandler personopplysninger må påse at de benytter programvare, applikasjoner, teknologi, systemer, løsninger osv. som har innebygd personvern og personvern som standardinnstilling. Det igjen innebærer at de som skal tilby løsninger der det inngår personopplysninger, mangler et marked hvis ikke løsningen ivaretar kravet.
Med en slik konkurranse ønsker vi å løfte frem gode eksempler på teknologi som er personvernfremmende. Vi har fått inn 21 bidrag, og vi kan vel si at ingen av bidragene hadde en løsning der alle krav var ivaretatt. Derfor har vi i juryen valgt å fokusere på det i bidragene som var personvernfremmende. Noen har laget verktøy for å se om eksisterende løsninger og infrastruktur er i samsvar med ny lovgiving, andre har fokusert på sikker overføring eller autentisering, og andre igjen har lagt vekt på en av rettighetene eller personvernprinsippene.
Spesielt viktig for juryens avgjørelse har vært kriteriene om at løsningen skal gjøre det enklere for enkeltpersoner å bruke sine rettigheter, at den skal styrke enkeltpersoners kontroll over egne opplysninger, å gjøre det enklere for virksomheter å etterleve personvernregelverket og å styrke informasjonssikkerhet rundt personopplysninger.
Juryen har hatt fire samlinger. Alle innsendte bidrag har blitt vurdert grundig. På et av møtene var fire finalister invitert til presentere løsningene for oss for å se om vi hadde forstått konseptet i det innsendte bidrag. En slik dialog var viktig for oss for å bedømme riktigheten i fordeler og ulemper for personvernet som løsningen ga.
Alle jurymedlemmene har synes at gjennomgang og vurdering av bidragene har vært et meget interessant arbeid. Vi har ikke vært enige i alt, men vi har hatt gode diskusjoner og argumentasjoner for hva som er personvern i det enkelte bidrag og hvorfor dette elementet er personvernfremmende. Alle i juryen har gjort en solid innsats, vi har fått og gitt, tapt og vunnet – og kommet frem til personvernfremmende elementer i bidragene som videre har ført til en vinner av konkurransen.
Det siste året har vi sett mange store (for eksempel Google) og små virksomheter som misforstår hva et samtykke er! Et samtykke er ikke at du må akseptere leverandørens vilkår for å få bruke deres løsning, da har de oversett både personvern som standardinnstilling, dataminimering, formålsbegrensning og sikkert flere av personvernprinsippene og de registrertes rettigheter. Kanskje får juryen se gode eksempler på samtykke i neste års konkurranse?
I bidragene i årets konkurranse har vi savnet gode eksempler på prinsippet om dataminimering, altså minimer og begrens mengden av innsamlede og prosesserte personopplysninger til det tillatte og kun det som er absolutt nødvendig. Opplysningene skal også slettes når videre lagring ikke er nødvendig for formålet. Slagordet er «Select before you collect».
Kanskje vi kan få se gode eksempler på hvordan man gir informasjon? Stikkord er kort, konsist, og klart og tydelig språk om hvordan programvaren fungerer og hvordan personopplysninger behandles. Informasjon skal gis dersom det foregår profilering og/eller automatisert behandling av personopplysninger, og hvordan det foregår. Vi trenger gode eksempler på de spesielle kravene som gjelder dersom programvaren skal rettes mot barn. Kan for eksempel bilder, ikoner og symboler brukes for gjøre informasjonen om løsningen tydeligere? Eller kan animasjon, video og lyd kan være gode virkemidler for å tilpasse informasjonen til brukerens nivå for forståelse?
Vi ønsker at vi til neste år ser mange engasjerte studentbidrag, for det er de som er våre kommende utviklere, og de som må skape løsninger som gir oss personvern også i fremtiden.
Medlemmene i 2017-juryen vil bli de samme som sitter i juryen for konkurransen i 2018. Vi gleder oss til å se mer av personvernfremmende teknologi. Og kjære bidragsytere, private, offentlige, studenter og pensjonister:
Overrask oss positivt!
Lykke til i konkurransen.