Dette innlegget ble holdt på Personverndagen, 28. januar 2021.
Gratulerer med dagen alle sammen, og hjertelig velkommen til årets personvernkonferanse. For første, og forhåpentligvis siste gang, holdes konferansen utelukkende digitalt. Men vi vet at mange sitter klistret foran skjermen med popcorn, cola og jeg har hørt rykter om strikketøy, og det er vi veldig glade for.
Det spørsmålet jeg skal forsøke å besvare, er om digital smittesporing er den første store testen på effekten av personvernforordningen. Og like viktig, om personvernverdiene står seg under press. Dette spørsmålet kan selvsagt ikke besvares med «ja» eller «nei». Særlig i den tiden vi nå lever i, kan svært få spørsmål besvares så enkelt. Til det er usikkerheten for stor.
Smittestopp og personvern
Men det er en del – la oss kalle det signaler, som i hvert fall trekker i retning av at svaret er «ja». Jeg skal ikke bruke tid på å snakke om de juridiske sidene av Smittestopp-saken, men si litt om hva vi kan trekke ut av prosessen i Norge og i andre land. Jeg vil også se på hva vi kan trekke ut av reaksjonene som kom fra politisk hold, teknologimiljøene, organisasjoner og norske borgere.
Vi så tidlig at myndigheter i mange land rullet ut egenutviklede løsninger som senere måtte trekkes tilbake av personverngrunner. Det som skjedde med Smittestopp i Norge var derfor ikke unikt – i motsetning til det som kanskje har festet seg som et inntrykk. Men den norske løsningen var blant de mest inngripende.
I en krisesituasjon vil mange bytte litt frihet med trygghet. Vi må også et stykke på vei akseptere en slik byttehandel.
I Storbritannia kom myndighetene for eksempel med en egenutviklet app (NHS Covid-19), basert på bluetooth og sentral lagring. De måtte trekke den tilbake på grunn av kritikk (blant annet problemer med Apples bluetooth-begrensninger) og manglende effekt. De gikk etterhvert over til Google/Apple-løsningen.
I Tyskland lanserte myndighetene en egenutviklet app (CoronaWarn) basert på bluetooth og sentral lagring. Den måtte også trekkes tilbake på grunn av kritikk (blant annet problemer med Apples bluetooth-begrensninger) og manglende effekt, og gikk over til Google/Apple. Forskjellen mellom Storbritannia og Tyskland er at Tyskland snudde seg raskt.
Vi kan kanskje nevne Danmark, som ventet med å utvikle appen. Hvorfor? Det kan ha å gjøre med at de ventet til de var trygge på løsningen, fra et sikkerhets- og personvernperspektiv.
I Norge kjenner vi historien. FHI måtte trekke tilbake appen på grunn av et vedtak fra oss.
En test av personvernlovgivningen
Et delsvar på spørsmålet mitt er altså at myndigheter i flere europeiske land ble tvunget til å utvikle mer personvernvennlige løsninger som følge av kritikk. Det vitner om en personvernlovgivning som tåler å testes i krevende situasjoner. Selv om det vi i Datatilsynet har stått i ikke kan sammenlignes med det helsemyndighetene har stått i, skal det ikke stikkes under en stol at det å behandle saker knyttet til smittesporing har vært krevende.
I en krisesituasjon vil mange bytte litt frihet med trygghet. Vi må også et stykke på vei akseptere en slik byttehandel. Derfor er det ekstra interessant, i lys av temaet for dette foredraget, å se nærmere på de reaksjonene Smittestopp-saken utløste.
Og ettersom det tross alt er personverndagen i dag (vår egen dag!) er jeg navlebeskuende nok til å begynne med oss selv. Den dagen Smittestopp-prosjektet ble lansert, sa jeg i Dagsnytt 18: «en smitteapp kan, i en krisetid, være et akseptabelt tiltak for å slå tilbake pandemien og redde liv».
I nettmeldingen vi sendte ut 27. mars skrev vi:
«Vi etterlater oss en lang rekke digitale spor hver dag, og i motsetning til ved tidligere pandemier, har vi nå mulighet til å bruke disse dataene til å kartlegge smittespredning og varsle befolkningen på nye måter. Det er viktig å benytte seg av slike muligheter, men vi har ikke tidligere vurdert hvor langt vi kan gå i å tillate at personverndata blir brukt til slike formål i en krisesituasjon».
Personvernrådet (en sammenslutning av alle datatilsynsmyndighetene i EU- og EØS-området) uttalte at personvernforordningen «ikke er til hinder for tiltak som kan bekjempe koronavirus-epidemien». Rådet understrekte samtidig at myndighetene må beskytte borgernes grunnleggende rettigheter selv om det er mulig for medlemsstatene å innføre lovgivningstiltak for å ivareta offentlig sikkerhet.
Personvernrådet fortsetter slik: «Denne typen lovgivning er kun lovlig dersom det utgjør et nødvendig, egnet og forholdsmessig tiltak i et demokratisk samfunn».
Og som en parentes, før vi går videre: Disse verdiene speiler innholdet i EMK artikkel 8, som fastslår retten til privatliv.
Har bestått testen
De signalene personvernmyndighetene ga, er viktig i en vurdering av om forordningen har bestått testen. Fordi vi anerkjente bruken av teknologi for å bekjempe pandemien, og fordi sluttresultatet er en smittesporingsapp som er akseptabel fra et personvernståsted.
La oss så se på reaksjonene fra andre grupper i samfunnet.
Teknomiljøet var raskt ute. I dette miljøet har vi selvsagt en del personvernere, men det slo oss at bredden i kritikken var stor. Det gikk ikke på digital smittesporing som sådan, men på teknologivalg og sikkerhet, og omfanget av inngrepet overfor den enkelte. Det ble laget et opprop, en sjeldenhet generelt, og kanskje i teknologimiljøet spesielt, og viser tydelig at engasjementet for personvern er betydelig.
Også folk flest viste stor interesse. Uten å lage noe stort nummer ut av det – men jeg får jo en del e-post fra folk som har meninger om det vi gjør – smittestopp engasjerte voldsomt, og det i begge retninger. Vi mottok også formelle klager fra norske borgere. Saken ble heftig debattert, var i Dagsnytt 18 flere ganger, samt i andre nyhetssendinger. Saken gikk også sine svært aktive runder på Twitter og andre sosiale nettsamfunn, og ble også omtalt internasjonalt.
Det er også verdt å merke seg at Stortinget vedtok å dele smittestopp i to: én for smittesporing og én for modellering av smittespredning, forskning og eventuelt andre formål. Og til slutt: Amnesty kom på banen med en rangering av ulike smitteapper, i et menneskerettighetsperspektiv.
Alt dette trekker etter min mening i retning av at personvernforordningen, og verdiene den beskytter, har blitt testet, og bestått. Grunnen er denne:
Det som har engasjert borgere og forbrukere, teknologimiljøet, politikere og organisasjoner, er at Smittestopp utfordret noen viktige prinsipper i personvernregelverket. Stortinget var opptatt av formålsprinsippet. Sikkerhet og teknologivalg, og viktige prinsipper som dataminimering og skikkelige konsekvensvurderinger, var særlig viktig hos teknologimiljøet. Amnesty var opptatt av koblingen mellom personvern og menneskerettigheter som kommer fra samme verdigrunnlag. Norske borgere var i stor grad opptatt av det som er kjernen i personvernet, her uttrykt på en folkelig måte: Frihet fra urettmessig overvåking.
Er vi avhengige av Silicon Valley?
Det er imidlertid noen tankekors som ikke bare handler om forordningen, men også om teknologiutvikling, og kanskje også forretningsmodeller. Det er Google og Apple sine roller.
Dagens Smittestopp er langt mer personvernvennlig enn den første. Den er like fullt bygget på infrastrukturen der i hvert fall ett av selskapene er sterkt kritisert for sin holdning til personvern, og nå har flere store saker mot seg fra personvernmyndigheter. Er det uproblematisk at myndigheter i demokratiske stater er avhengige av Silicon Valley for å levere viktige tjenester til innbyggerne? Dette er et godt tema for diskusjonen senere.
Takk for oppmerksomheten!
Datatilsynet og Teknologirådet markerte også i år den internasjonale personverndagen den 28. januar med et åpent møte – denne gangen på nett. Les mer om arrangementet og se opptak