Denne kronikken sto på trykk i Dagens Næringsliv 29. desember 2018.
20. juli i år trådte de nye personvernreglene i kraft. Dette gir oss en helt ny måte å tenke personvern på. Grunnen er ganske enkelt at personvernverdenen ser annerledes ut nå enn for bare noen få år siden. Alt er digitalisert, og alt kan deles, gjenbrukes, analyser og deles på nytt. Bruk av algoritmer og kunstig intelligens vil fase mennesker ut av stadig flere beslutning, det være seg innvilgelse av en lånesøknad, en trygdesøknad eller lengden på en fengselsstraff. Vi er helt i starten på den kunstige intelligensens tidsalder, men må være klar over hva vi egentlig gjør: Vi delegerer myndighet til å treffe viktige beslutninger til en maskin.
Riktig bruk av data
Det gamle personvernet handlet om konsesjoner fra Datatilsynet og minst mulig registrering og deling av data. Personvern var noe man puttet på helt på slutten når en virksomhet lansert en ny tjeneste, og det var gjerne noe som teknologer holdt på med. Dette er annerledes nå. Folk har en forventning om at dataene deres blir brukt. Selv om det fortsatt er viktige å minimalisere mengden registrerte data og begrense delingen, har det liten mening å snakke om ikke å registrere og dele data når vi gjør 3,5 millioner søk på Google og sender 1,8 millioner snapper hvert minutt. I stedefor ingen bruk av data, snakker vi nå om riktig bruk og riktig deling av data.
Personvern er et lederansvar
Det er et krav at personvern skal være med i utviklingsprosessen helt fra starten av. I prinsippet om innebygd personvern møtes virksomhetens ønske om å bruke data med virksomhetens plikt til å følge regelverket og den enkeltes forventning om at data blir brukt. Det er viktige å utvikle løsninger som skaper en vinn-vinn-situasjon. Vi ser at der er mulig å få til, men det krever vilje og forankring på høyeste nivå i ledelsen. Personvern hører ikke lenger hjemme i datarommene, men i styrerommene og på direktørens kontor.
I stedet for ingen bruk av data, snakker vi nå om riktig bruk og riktig deling av data.
Ekstra sentral er det å utrede konsekvensene for personvernet. La oss ta et eksempel. Nå utredes en ny helseanalyseplattform, som skal gi bedre og sikrere tilgang til helsedata. Disse dataene vil samles inn fra en lang rekke kilder, som for eksempel helseregistre, biobanker og helseundersøkelser. Dataene skal brukes til blant annet analyse, forskning og innovasjon, og ambisjonen er at analyseplattformen på sikt også skal innpodes kunstig intelligens, algoritmer og såkalt prediktive analyser.
Formålet er utvilsomt det beste, men hva med konsekvensene? Å legge konkrete fordeler med plattformen i den ene vektskålen, og ulempene i den andre, er en relativt enkel øvelse. Men etter det nye regelverket må utredningen gå dypere. Det må stilles spørsmål om hva en så stor mengde data samlet på ett sted, om fem millioner mennesker, betyr for våre rettigheter og frihet.
Man må stille en rekke grunnleggende spørsmål om en slik løsning som helseanalyseplattformen:
- Krenker den retten til privatliv?
- Utfordrer den kommunikasjonsvernet, ytringsfrihet og tankefrihet?
- Utfordrer den forbudet mot diskriminering?
Økning i avviksmeldinger
Vi har gjort oss noen erfaringer siden regelverket trådte i kraft. Særlig påfallende er den enorme økningen i antall avvik som meldes inn.
I 2015 mottok vi 86 avviksmeldinger, før årets slutt var antallet opp mot 1300.
Et høyt tall, men samtidig viser det også at bevisstheten om behandling av persondata er økende. Norske virksomheter har etablert systemer som kan fange opp feil, og vilje til å lære av dem. Det er for tidlig å gi noen uttømmende analyse av hva slags feil som begås, men foreløpige erfaringer viser at menneskelige feil og mangel på rutiner utgjør brorparten. Her vil vi kommer tilbake med mer presise analyser etter hvert.
Vi mottar også flere klager fra forbrukere som mener sine personvernrettigheter krenket. Det viser at regelverket virker, og at folk bruker de nye rettighetene loven gir dem. Mer overraskende er det at vi så langt har mottatt svært få begjæringer om forhåndsdrøftelser, som er en forpliktelse til å drøfte behandlinger med høy risiko med Datatilsynet. Det igangsettes forskningsprosjekter, etableres registre, lanseres apper som behandler store mengder data og i mange norske virksomheter er opplysningene om kunden den virkelige motoren i driften. Det er vanskelig å tro at ikke en del av disse behandlingene burde vært forhåndsdrøftet med oss. Kanskje klarer norske virksomheter å redusere risikoen og iverksette tiltak som gjør forhåndsdrøftelser unødvendig? De foreløpige undersøkelsene vi har gjort gir imidlertid grunn til en viss bekymring.