Personvern i krise? 

Av Dana Jaedicke, senior manager i Ernst & Young og nestleder i Juristforbundets Tech Forum

«Vi har vært heldige. Og vi har jobbet hardt. Hell og hardt arbeid trenger vi fremdeles for å styrke landet vårt og hverandre på vår videre vei. Vi står i dag på et fundament av alt dette vi har bygget sammen- og som vi må beskytte. For freden er skjør. Tilliten er skjør. Og livet er skjørt. Det blir vi stadig minnet om (…) Med utvikling følger også muligheter- som kan brukes klokt eller uklokt. Teknologien løper foran oss og stiller oss ovenfor dilemmaer vi kanskje ikke er klare til å møte. Jakten på kortsiktig gevinst kan stå i veien for gode valg som tjener til det beste for enkeltmennesker, samfunn og planeten (…) Vi trenger sindighet i møte med alle de nye mulighetene som blir gitt oss.»

De færreste av oss husker Kongens nyttårstale i 2019. Man kan trygt si at ingen, ikke en gang Kongen, kunne se for seg hvor treffende disse ordene kom til å bli i 2020 der Norge, og verden, skulle stå ovenfor en krisesituasjon så ulik alle andre kriser vi har opplevd i moderne tid. En mikroskopisk fiende har inntatt avisenes førstesider og har ført til nedstenging av landegrenser, omstilling av arbeidsliv og iverksetting av krisepakker i milliardklassen. 

Denne fienden er mektig nok til å utfordre vedtatte maktfordelingsprinsipp og politiske skiller. Den gir oss imidlertid også en anledning til å børste støv av en gammel, om noe filosofisk, diskusjon omsamfunnspakten mellom borgere og styringsmakter. Allerede i 1762 publiserte den sveitsiske filosofen J.J Rousseau sitt verk «Om Samfunnspakten». Her drøfter han ideen om at mennesker, frie i sin naturlige tilstand, frivillig underkaster seg en regulerende autoritet, fordi det er i deres egen interesse. Denne uskrevne samfunnskontrakten forutsetter imidlertid at menneskenes frie utfoldelse ikke innskrenkes for mye. Skulle myndighetene forsøke å frata individene råderetten, er opprør legitimt.

Denne ideen, som var revolusjonerende i sin tid, danner også idegrunnlaget for Menneskerettighetskonvensjonen. Artikkel 8 fastsetter for eksempel minsteinngrepsprinsippet. Prinsippet fastslår at det ikke skal skje inngrep fra offentlig myndighet i utøvelsen av retten til privatliv, unntatt når inngrepet er i samsvar med loven, og er nødvendig i et demokratisk samfunn for å ivareta utvalgte allmenne interesser. Et tiltak som er i samsvar med loven, og som er nødvendig og proporsjonalt i et demokratisk samfunn, vil etter dette prinsippet være forenlig med og ikke utgjøre inngrep i retten til privatliv.

Det er med andre ord fullt mulig for individer å beholde råderett og autonomi, samtidig som det iverksettes nødvendige og proporsjonale tiltak, som er i individenes interesser og som er utformet etter loven.

En demokratisk rettstat som Norge har lange tradisjoner for vern av menneskerettighetene. I møte med den ekstraordinære situasjonen forårsaket av korona-pandemien, ser vi imidlertid konturene av en debatt hvor hensynet til enkeltindividet settes opp mot samfunnsinteressene. I debatten argumenteres det for at en global pandemi kun kan bekjempes med tiltak på kollisjonskurs med individets grunnleggende friheter og rettigheter. Innvendinger mot de valgte tiltak er etter denne argumentasjonen, også et utrykk for manglende solidaritet i en tid der samhold og medvirkning, er en borgerplikt. 

Professor Kristin Bergtora Sandvik skriver i en kronikk i Sosiologen at to sentrale begrep i korona-vokabularet kan få æren for Norges tilsynelatende vellykkede håndteringen av korona-krisen, nemlig ‘tillit’ og ‘dugnad’ «Kombinasjonen av høy sosial tillit til rettsstaten og medborgerne, og den vellykkede mobiliseringen av dugnads-konseptet har vært en viktig forutsetning for at Norge har kommet seg relativt helskinnet gjennom denne første fasen».

Hun skriver videre «Imidlertid har denne mobiliseringen også muliggjort inngrep – og unnlatelser— og igangsatt prosesser som gjør at vi også bør føle et visst ubehag, og ha et kritisk blikk på den perioden vi nå legger bak oss.» 

…

12. mars 2020 iverksatte Solberg-regjeringen de sterkeste og mest inngripende tiltakene vi har hatt i Norge i fredstid, og oppmuntret alle landets innbyggere til å «delta i en dugnad for å bremse smitten». Statsministeren var tydelig på at tiltakene kom til å få stor innvirkning på individenes personlige frihet, at de ville arte seg som tiltak med direkte inngripen i våre hverdagsliv og i hvordan samfunnslivet fungerer. Hun understreket samtidig at dette var helt nødvendige tiltak for å stoppe spredningen av viruset i Norge. 

Iverksettelse av de nødvendige tiltakene krevde utstrakt maktoverføring fra Stortinget til regjeringen. En midlertidig Corona- lov (nå allerede opphevet) ble vedtatt, som hjemlet adgangen til å utarbeide et stort antall forskrifter. Forskriftene la til rette for midlertidig omstilling av arbeidsliv, barne- og familieliv, helse og omsorg, grensekontroll og innvandring, transport, kultur, medier, idrett og frivillige organisasjoner. Mobiliseringen i befolkningen var enorm. Dugnadsånd – og en høy grad av digitalisering, gjorde det mulig for mange arbeidsplasser å tilby hjemmekontorløsninger til sine ansatte, for skoler å tilby fjernundervisning til elevene og for kulturformidlere å finne nye måter å formidle kunsten sin på.

Det er derfor overraskende at dugnadsånd i seg selv ikke skapte nok insentiv til å muliggjøre effektiv iverksetting av det mest moderne innen smittesporing og analyse av smittespredning: digital sporing ved hjelp av en app installert på mobiltelefoner. 

Spørsmålet er hvorfor mislyktes dette tiltaket? Hvilke indre forsvarsmekanismer ble trigget i det norske befolkningen? Nordmenn som er vant til å bruke teknologi til sin fordel og som raskt hopper på de nyeste trendene og løsningene som tilbys. Til tross for at den uttalte hovedhensikten med appen var så hederlig, behovet så presserende, omstillingsviljen så stor og infrastrukturen for å ta i bruk digital smittesporing så tilgjengelig, valgte store deler av befolkningen å ikke installere Smittestopp-appen.

Kan det være at noe i appens utforming, markedsføring og bruk ble oppfattet som å komme farlig nær grensen for Rousseaus samfunnspakt? At befolkningens passivitet er en moderne versjon av opprør, som Rousseau beskrev som en legitim reaksjon til myndighetenes forsøk på å frata individet råderetten? 

Ved lansering av Smittestopp-appen den 16. april sparte ikke norske politikerne på rosende ord om behov for og effekt av digital smittesporing. Helseminister Bent Høie uttalte at «Smittestopp kan redde liv», og statsminister Erna Solberg oppfordret til nedlasting av appen som forutsetning for å få «hverdagen og friheten tilbake». For Folkehelseinstituttet, som var oppdragsgiver for Simula Research Laboratory ved utvikling av appen, var nedlasting en viktig måte befolkningen kunne bidra til den nasjonale dugnaden. 

FHI-direktør Camilla Stoltenberg har uttalt at for at appen skal være effektiv, må den tas i bruk av minst 50 prosent av befolkningen over 16 år. Dette tilsvarer 2,1 millioner aktive brukere. Per 19 mai, hadde appen 641 824 aktive brukere, noe som utgjør litt over 15%. 

Kritikken mot appen haglet, innvendingene gjaldt alt fra brudd på anskaffelsesprosedyrene, lite dokumentert effekt i smittesporing og begrensning, og ikke minst, hvordan appen ivaretar individets rett til privatliv. 

Av disse tre typer innvendinger, er det kanskje mangelfull ivaretakelse av retten til privatliv, som virker mest utfordrende å ta innover seg og håndtere, både for utvikler og FHI som behandlingsansvarlig. Dette til tross for at den valgte løsningen skiller seg på vesentlige punkter fra standarden som Personvernrådet anbefaler for slike apper og den fremgangsmåten som Google og Apple i felleskap støtter. Norske IT og personverneksperter har i tillegg signert et opprop mot Smittestopp, og en ekspertgruppe nedsatt av Helse og Omsorgsdepartementet kom med konkrete forslag for å forbedre personvern og sikkerhet i appen.  

Aslak Tveito, administrerende direktør for Simula Research Laboratory, oppfordret i et brev til sine ansatte 20.april til å laste ned appen, ved å skrive at «Det er en barmhjertig handling å laste ned og bruke den, og en egoistisk handling å ikke gjøre det». I Bergens Tidende 30. april gjentas denne retorikken: «Skeptikerne til Smittestopp bør spørre seg om det er riktig å sette eget personvern foran andres helse».

Denne polariserende retorikken setter personvern og allmenninteressen som allerede hadde massiv støtte i befolkningen, i et nullsumspill,der individenes personvern fremstår både som et absolutt krav, og en urimelig, egoistisk øvelse som vanskeliggjør gjennomføring av det hederlige allmenninteressen. Dette står i sterk kontrast til Datatilsynets tilnærming. De anerkjente først at nyskapende, dog ikke utprøvde virkemidler, kunne tas i bruk i en ekstraordinær situasjon, for så å stille krav til appens utforming slik at den ble forenlig med individenes rett til privatliv. Med andre ord, ja, behandling av personopplysninger kan rettferdiggjøres, men de ordinære lovkravene ved behandling av personopplysninger gjelder fullt ut og krever at det iverksettes tiltak som fullt ut ivaretar de berørte individene. Jeg hadde heller ikke forventet annet av tilsynet i denne situasjonen. 

Uttalelsene fra Simulas administrerende direktør fikk meg til å reflektere over den holdningen som jeg ofte møter i mitt profesjonelle liv. 

Behandlingsansvarlige, offentlige så vel som private, stiller ofte spørsmål ved det de opplever som en sterk kontrast mellom personvernekspertenes hysterirundt etterlevelse av krav i personopplysningslovgivningen og individets egen oppførsel. Spesielt plikten til å vurdere konsekvensene som enhver behandling av personopplysninger kan medføre for individets rettigheter, og eventuelt å involvere de registrerte i denne vurderingen, oppleves som krevende å gjennomføre i praksis. Brukerne bytter mer enn gjerne personopplysninger mot målrettet tilbud på varer og tilsynelatende gratis tjenester. Denne tilbøyeligheten til å betale for varer og tjenester med personopplysninger, ses som et tegn på at verdien av å beholde kontroll over spredningen av egne personopplysninger, er sterk overdrevet. Vernet som loven forsøker å gi, virker å være i utakt med individenes eget ønske. 

Politiske signaler om gjennomføring av ulike typer tiltak, for eksempel digitalisering eller økt automatisering av enkeltvedtak, tolkes ofte av offentlige behandlingsansvarlige som en fullmakt til å gjennomføre tiltak med betydelig risiko for borgernes personvern. Prinsipper som dataminimering, formålsbestemthet, datakvalitet, lovlighet og rettferdighet, som utgjør bærebjelkene i personvernretten, anvendes så langt det passer, så langt budsjett og tidsrammer rekker. Denne holdningen utrykker at «litt» personvern er «godt nok», så lenge lovbestemte behandlinger er gjennomført. Offentlige virksomheter har i forlengelse av det, en høyere akseptansenivå for behandlinger av opplysninger som er mer inngripende enn det som ville vært tilfelle dersom behandlingen skjedde i privat regi og med utgangspunkt i andre behandlingsgrunnlag enn en lovhjemmel. Hadde dette bygget på solide utredninger av personvernkonsekvensene gjennom lovgivningsprosessen, herunder drøftelser i høringsrunden, ville aksept av en høyere risiko fremstått som relativt uproblematisk. Ofte er dette ikke tilfelle, behandlingsansvarlige står alene med sine vurderinger og sin forståelse av personvernrisiko i en bestemt behandling ved gjennomføring av tiltak som er nedfelt i lov.   

…

Hvorfor nådde ikke Simulas Smittestopp målsetningen om 50 % opptak og aktiv bruk i befolkningen hvis både konteksten (en krisesituasjon), formålet (å begrense spredning av en pandemi) og tilbøyeligheten i befolkningen til å akseptere omfattende innskrenking av rettigheter og friheter, allerede var på plass? Og hvorfor var det mulig å «åpne opp Norge», selv om FHIs terskel for aktiv bruk av appen ikke var nådd? 

Selv om det er for tidlig å trekke konklusjoner om alle faktorene som medvirket til befolkningens skepsis til å være med på denne delen av dugnaden, så drister jeg meg til å påpeke to faktorer: 

Simula og FHI undervurderte betydningen av tillit og hva som skal til for å opprettholde tillit når offentlige myndigheter behandler personopplysninger om befolkning.

Simula forsøkte å seile på den generelle tilliten som den norske befolkningen har i behandlingen av personopplysninger i offentlig sektor. Kyrre Lekve, visedirektør i Simula uttalte om tjenesten de tilbyr,  «Den er akkurat like sikker som andre tjenester» og at «til syvende og sist blir det et tillitsspørsmål. De fleste skjønner at vi er i en unntakstilstand, og at de aller fleste av oss stoler på myndighetene». Folkehelseinstituttet fremholdt at «Smittestopp er utviklet for norske forhold, og baserer seg på tilliten mellom borgere og stat i Norge».

Man snakker om tillit på ulike måter og ulike nivåer i ulike sammenhenger. Tillit til institusjoner bygger på tilfredshet med hvordan institusjonene opptrer i relasjon til sine brukere. Det innebærer også en forventning om at disse institusjonene iverksetter tiltak som brukerne oppfatter å være i befolkningens interesse og at de opptrer redelig, rettferdig og åpent når tiltakene iverksettes. Brukeren stoler med andre ord både på de tiltakene som institusjoner iverksetter, og måten de går frem på, for å nå disse målene. 

Uttalelsen fra Simula forutsetter at tilliten til myndighetene øker i en unntakstilstand, eller at den opprettholdes som defaultpå samme nivå. Hvorvidt sosiologi og statsvitenskap kan bekrefte denne antakelsen er en annen diskusjon. Legger man til grunn erfaringer fra andre tillitsbaserte forhold, som for eksempel egen familie, er man fristet til å hevde det motsatte, at tilliten er spesielt skjør i en unntakstilstand, der en eller begge parter lett kan miste evnen til å ta reflekterte, rasjonelle valg og er presset på tid, ressurser eller kompetanse.  Med andre ord, krisesituasjonen gjør at befolkningens årvåkenhet og forventninger til hvordan tiltak blir valgt og iverksatt, øker. Man helst bør supplere den grunnleggende tillitten med konkrete, håndfaste erfaringer om at institusjonen er tillitsverdig. 

Det andre problematiske elementet i uttalelsen, er å anta at befolkningen holder det offentlige ansvarlig på samme måte som de ville har gjort med private virksomheter når det kommer til ivaretakelse av grunnleggende friheter og rettigheter. At en tjeneste (som kommer fra det offentlige) «er like sikker som andre tjenester», (underforstått like dårlig som andre tjenester) anses som «god nok» til å opprettholde tilliten i befolkningen. Formelt sett er denne antakelsen riktig, siden personvernforordningen stiller like høye krav til offentlige og private behandlingsansvarlige. Begge må opptre ansvarlig, gjennomføre risikovurderinger, gjennomføre tekniske og organisatoriske tiltak og ivareta personvernprinsippene. Professor Sandvik spissformulerer dette ved å skrive at «Nordmenn lar daglig sin digitale kropp bli produsert, invadert, og kontrollert av internasjonale teknologigiganter som Facebook og Google. At det nå er staten som står for denne invasjonen – via en mobilisering av dugnads- og tillitsbegreper og en krøllete anskaffelsesprosess, et uferdig produkt det er uklart om vil virke og tilsynelatende uten noen form for risiko og konsekvensanalyse, gjør Smittestopp til en innovasjon som er «disruptiv» også i forhold til grunnleggende rettsstatlige verdier». 

Den høye tilliten som det offentlige nyter i Norge kommer med en pris. Den høye forventningen om at «staten vil oss vel», tilsier også at staten er i stand til å sette standarden, vise vei, være best i klassen i å mobilisere de ressursene som er nødvendige for å iverksette de tiltak som sikrer oss borgere det vernet som vi teoretisk og prinsipielt er tilkjent gjennom internasjonale avtaler, konvensjoner og lovgivning. 

Sett i forhold til den kunnskapen som var tilgjengelig på det tidspunktet appen ble lansert, kan man lett argumentere for at digital smittesporing gjennom data innhentet fra brukernes mobiltelefoner var et egnet tiltak for å kontrollere smittespredningen i befolkning. Hvis det var en mulighet for at appen kunne bidra til begrensning av smitte, så kunne det gjerne tas i bruk. 

Det er imidlertid flere betenkeligheter rundt ideen om at den tekniske utformingen av appen var det mest personvernvennlige løsningen man kunne forvente med eksisterende kunnskap, fra en myndighet som skal sette standarden for behandling av personopplysninger i Norge. 

Simula og FHI undervurderte dessuten verdien av åpenhet om formålene med behandling av personopplysninger, for å øke viljen til å laste ned appen. 

Staten understreker sterkt at det er «frivillig» å laste ned Smittestopp. I alle offentlige uttalelser fremheves brukerens rett til å velge om de skal laste ned appen, hvilke funksjoner de ønsker å aktivere, og hvor aktive de skal være i deling av posisjonsdata via GPS og Bluetooth. Datatilsynet understreker også at appen skal være frivillig å ta i bruk. 

Leser man den kongelige resolusjonen til Forskrift om digital smittesporing og epidemikontroll i anledning utbrudd av Covid-19, oppdager man følgende uttalelse: «Departementet presiserer at smittesporing ved alvorlig utbrudd av allmennfarlig smittsom sykdom ikke er frivillig. Det er en oppgave som er regulert i smittevernlovgivningen, hvor både helsepersonell og den smittede selv er pålagt en rekke plikter. Nedlasting og bruk av applikasjonsløsningen skal likevel være frivillig og det skal gis god informasjon om tiltaket. 

Gitt en uavklart og alvorlig situasjon kan enkelte føle seg presset til å delta, og det kan være vanskelig å sette seg inn i alle konsekvensene av å bli sporet på denne måten. Det vil derfor kunne oppstå en viss tvil om hvorvidt den enkeltes samtykke oppfyller de strenge kravene personvernforordningen for at et samtykke skal være gyldig i forordningens forstand, jf. artikkel 4 nr. 11 og artikkel 7 om informert og frivillig samtykke. Departementet anbefaler derfor at behandlingen av personopplysninger baseres på personvernforordningen artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 2 bokstav i.

Departementet understreker at selv om behandlingsgrunnlaget etter personvernforordningen ikke formelt sett er den registrertes samtykke, skal det likevel være opp til den enkelte å avgjøre om han eller hun vil delta. Informasjon til brukerne skal imidlertid ikke utformes slik at det fremstilles som om brukeren gir sitt samtykke til behandling av personopplysninger(min utheving).

Man leser i disse uttalelsene at departementet er klar over at samtykke ikke kan utgjøre et gyldig behandlingsgrunnlag for behandling av personopplysninger om både friske og smittede personer gjennom Smittestopp, til alle de intenderte formål opplysningene skal brukes til. Departementet fastslår dermed at tiltaket kan rettferdiggjøres i «allmenhetens interesse». Nedlasting av appen, det vil si adgangen til å innhente alle opplysningene, forutsetter imidlertid frivillighet. Hvordan opplysningene behandles etter at de er gjort frivillig tilgjengelig for FHI, har brukerne imidlertid ikke kontroll eller råderett over. Dermed står FHI og utviklerne av Smittestopp friere til å innrette innsamlingen og behandlingen av data som det er gitt forskriftshjemmel til å behandle enn om de måtte forholde seg til kriterier for gyldig samtykke etter GDPR. 

Appen har imidlertid to formål, der kun det ene er tydelig kommunisert til befolkningen. Det sekundære formålet, forskning på innsamlede data, er tilslørt bak generelle formuleringer som «å følge med på epidemiens utbredelse mer effektivt», «effektmåling av samfunnsmessige restriksjoner, slik at tiltak eventuelt kan forlenges, nedskaleres eller avsluttes», som i praksis vanskeliggjør vurdering av nødvendighet, dataminimering, formålsbestemthet, som er grunnleggende for å kunne avgi et informert samtykke.

Personvernforordningen legger til rette for gjenbruk av opplysninger innhentet til et formål til bruk i andre formål. I dette tilfellet digital oppsporing av nærkontakter, til bruk i forskning. Dette gjøres ved å etablere en presumpsjon om at forskningsformål er forenlige med det opprinnelige formålet opplysningene var innhentet for. Ved å blande to tilsynelatende adskilte formål i en app, har utviklerne klart å skape usikkerhet om hva det er man faktisk samtykker til, og under hvilke premisser. Denne usikkerheten kan lastes for i alle fall deler av befolkningens skepsis til å bidra i den store koronadugnaden ved å gjøre detaljerte opplysninger om sine bevegelser tilgjengelige for den behandlingsansvarlige, FHI. 

Så hva kan gjøres bedre i fremtiden for å sikre at løsninger som utvikles, fører til tillit fra individene og ivaretar grunnleggende friheter og rettigheter? 

Personvernforordningen har etter min mening romslige nok rammer til å svare på de fleste utfordringer som behandling av personopplysninger skaper for personvernet til de registrerte. Det spennende i dette arbeidet, ligger i kunsten å tolke forordningens bestemmelser i lys av teknologisk utvikling. Som en garanti for det som gjør oss til autonome, frittenkende individer, som en garanti for at vi kan fortsette å leve i et samfunn bygd på demokrati, frihet og grunnleggende menneskerettigheter - personvern har aldri vært viktigere enn nå. 

En av utfordringene vi må bli bedre til å møte, er å konkret identifisere hva som trigger en risiko for brukernes personvern i en viss kontekst. For meg personlig var dette den viktigste erkjennelsen i overgangen fra en stilling i tilsynsvirksomhet, hovedsakelig opptatt av policymaking og utforming av krav, til en konsulentstilling der jeg bistår kunder med nettopp å gjennomføre vurderinger av personvernkonsekvenser. Der man må måle, vurdere og beskrive hva en bruker står i fare for å miste dersom brukeren ikke får nok informasjon. Der opplysninger behandles i et altfor stort omfang. Der opplysningene behandles til andre formål enn brukeren forventer eller behandles på en måte som ikke gir dem tilstrekkelig vern - samt identifisere tiltak som er gjennomførbare, men effektive. Når behandlingen av opplysninger blir mer kompleks, og opplysningene utveksles mellom en myriade av virksomheter til spesifiserte og uspesifiserte formål, øker også kompleksiteten i disse vurderingene. 

Skal vi holde personvernet i live, må vi slutte å snakke om personvern som et ideal som er abstrakt, subjektiv og uforutsigbar. Det må konkretisere det til et nivå der personvern blir håndgripelig ikke bare for jurister, men også for teknologer som overtar stadig mer av rettsanvendelsene ved å integrere jussen i løsningene de utvikler. Her er det behov for mer åpenhet, mer debatt og ikke minst, mer prøving av vurderinger og tolkninger som gjøres av behandlingsansvarlige ovenfor Datatilsynet, Personvernnemnda og domstolene.