- Person­vern er en forut­setning for å opprettholde demokrati og ytrings­frihet

– Personvern har blitt allemannseie. Fotball og politikk er ting alle kan mene noe om, og gjennom pandemien virker det også som personvern er kommet på den lista. Det er fantastisk å se at personvern skaper engasjement, fordi personvern angår oss alle, individuelt, men også som samfunn. Og svarene som oftest ikke er hugget i stein, men derimot krever omfattende vurderinger og interesseavveininger, sier Dana Jaedicke.

Hun er senior manager i EY Risk Advisory der hun bistår kunder med tolkning og implementering av personvern i virksomheten. 

Jaedicke har tidligere blant annet ledet Datatilsynets juridiske arbeid for innføring av GDPR og hadde tett samarbeid med Justisdepartementet ved innføring av dette regelverket i Norge. Hun var også Datatilsynets representant i den europeiske personvernrådet (EDPB) og har vært aktiv involvert i utarbeidelse av flere av EDPBs veiledere om GDPR. Jaedicke var også sekretariatsleder i Personvernkommisjonen frem til 01.12.2021. 

– Det er av stor betydning at samfunnet har blitt mer bevist på at personvern ikke bare er et personlig anliggende, men at det angår samfunnet som sådan. Personvern er en forutsetning for å opprettholde demokrati og ytringsfrihet – alle de verdiene i samfunnet vi liker å leve i er tuftet på, sier hun.

Malgorzata Cyndecka, førsteamanuensis ved juridisk fakultet på Universitetet i Bergen, er enig i at personvern virkelig har blitt satt på dagsordenen etter at koronapandemien startet.

– Bekjempelsen av smitten har uten tvil satt personvernet og det relativt nye personvernregelverket på prøve. At personvernutfordringene vekket stor interesse hos nordmenn er en av de få positive utviklingene med pandemien, mener Cyndecka.

– Det er kjempebra. Man skulle selvfølgelig ønske at man ikke trengte en så dramatisk utvikling for å se nærmere på disse tingene, men når det først skjedde så var det veldig godt å se at folk reagerte og så hva det kunne gjøre med personvernet. 

Cyndecka underviser i blant annet personvern og GDPR. Hun har den siste tiden sett nærmere på den mye omtalte smittestopp-appen og bidratt med et kapittel i en ny bok om nettopp pandemien og personvern. 

Tidligere i pandemien fikk hun i oppgave å utrede om juridisk fakultet hadde mulighet til å kreve at studentene logget på med lyd og bilde, og hun bidro i tillegg til nye retningslinjer for digitalundervisning ved hele universitetet. 

Cyndecka opplevde at interessen for personvern blant jurister var nokså stor også i forkant av pandemien ettersom de nylig hadde «fått GDPR i fanget». 

– Men den store interessen for personvern så vi når befolkningen som ikke har juridisk utdanning også ble klar over at det er ikke bare Facebook, Google eller Instagram som samler inn personopplysninger, men også staten, mener hun. 

– Med tanke på GDPR var det i forkant av pandemien, og det er fortsatt, mange spørsmål som må avklares av domstolene.

Denne artikkelen stod på trykk i Juristens temautgave om personvern. Les flere av sakene her

App-problemer 

En av de aller største personvernsnakkisene under pandemien har vært Smittestopp-appen. Appen ble ut­viklet av Simula Research Laboratory i regi av Folkehelse­instituttet og lansert 16. april 2020, litt over en måned etter at landet ble stengt ned. 

– Pandemien og spesielt Smitte­stopp har virkelig løftet diskusjonen om kryssende interesser. Dette er ikke noe som spesialister i ett fagfelt kan løse alene. For å kunne avveie kryssende hensyn, kreves det tverrfaglighet; å forstå og anerkjenne grunnprinsipper, verdier og hensyn som hører til i ulike fag. En jurist er nødt til å forstå grunnleggende IT systemutvikling, økonomi, organisasjonsutvikling, samfunnsfag- for å kunne gjøre jobben sin. Dette kravet om tverrfaglighet er mer synlig etter hvert våre personopplysninger behandles gjennom stadig mer komplekse systemer og prosesser, sier Dana Jaedicke.  

Hun mener diskusjonen om Smittestopp også er interessant når det gjelder våre felles verdier og spillereglene i det demokratiske samfunnet vi lever i, noe hun mener vi til vanlig glemmer å sette ord på og løfte inn i det allmenne samfunnsdebatten.  

– Jeg er glad for at det også førte til diskusjoner om andre aspekter ved personvern, enn bare ordlyden i lovbestemmelser. Smittesporing og behandling av helseopplysninger er viktige temaer for mange. Noen mener personvernentusiastene må tøyles og at mye rettferdiggjøres av målet med pandemibekjempelse, sier hun.

 Dette er Jaedicke grunnleggende uenig i.  

– Helsejurister og personvernjurister har ofte, også tidligere, hatt ulike meninger om hvilke interesser som bør vektlegges. Disse debattene virket imidlertid ikke å treffe alle. Det er spennende diskusjoner, og det er absolutt ikke svart-hvitt. Samtidig er det viktig å formidle at ikke alle svar, ikke alle fremgangsmåter, ikke alle tiltak er like egnet til å ivareta personvern i en gitt kontekst. Som grunnleggende menneskerettighet, har personvern en kjerne som verken stater eller individer bør rokke ved.  

Allerede dagen etter lansering hadde 1,3 millioner nordmenn lastet ned Smittestopp-appen, men i tiden som kom skulle det bli mange reaksjoner. Noe av kritikken gikk på at appen ikke hadde åpen kildekode og at dataene ble lagret sentralt i en skyløsning. Personopplysningene var innhentet til flere formål, og det var lite åpenhet og lite mulighet for borgerne å velge mellom disse.

Avtroppende direktør i Data­tilsynet, Bjørn Erik Thon, forteller at de hadde veldig mange koronarelaterte saker i 2020 og 2021: utfordringer knyttet til personvern og digital undervisning, om man kunne kartlegge hvem som var på hytta, og ikke minst Smittestopp-appen. 

–  Den fant vi jo grunn til å stoppe, av personvernhensyn og dette var nok den største saken vi behandlet det året, så korona har absolutt hatt betydning for personvernet, sier Thon.

Datatilsynet fant at appen måtte stoppes og konkluderte med at det ikke var forsvarlig å bruke en så inngripende teknologi som det som ble brukt i Smittestopp, ut fra hvor lite smitte det var i samfunnet på den tiden.

– Bakgrunnen for vedtaket er at FHI har valgt en for inngripende teknologi sett i lys av nyttefaktoren av Smittestopp-appen, da det er lite smitte i samfunnet nå, sa Thon til VG da saken pågikk.

Blant det Datatilsynet fant av for inngripende teknologi, var bruk av lokasjonsteknologi, som sporer hvor folk er til enhver tid.

– Hadde stort potensiale 

I september 2020 besluttet regjeringen å avvikle appen, og i desember kom en ny, oppdatert versjon. I januar 2022 skrev NRK at kun 2,7 prosent av de som smittes av korona bruker appen, og med stadige smitterekorder sendte FHI ut fire millioner sms med oppfordring om å laste ned appen.  

Malgorzata Cyndecka ved UiB er kritisk til hele prosessen med å få på plass Smittestopp, og tror kanskje en del har blitt avskrekket fra å bruke appen etter oppstyret da den først kom i 2020. 

– Den hadde absolutt potensiale som et flott hjelpemiddel i pandemibekjempelsen, mener hun.

– Det er ingen tvil om at Simula er en fremragende forskningsinstitusjon som gjorde en kjempejobb på rekordtid og at alle hadde veldig gode intensjoner.

Cyndecka mener det er viktig å trekke frem at applikasjonen var den første av sitt slag i Europa, og at de fikk på plass en avansert løsning på kort tid, men hun mener også at mye sviktet underveis og at det ikke ble tatt hensyn til grunnleggende personvernprinsipper. 

– Det var jo for eksempel dette med formålsbegrensing; man kunne ikke velge bare ett formål. Og så var det prinsippet om dataminimering; denne appen samlet uhyre mengder personopplysninger uten at det var begrunnet, og mye ble samlet inn som de ikke engang kunne benytte seg av, mener hun. 

Hun trekker også frem prinsippet om åpenhet.

– Man kunne ikke få innsyn i og forholde seg til hvordan personopplysningene ble behandlet.

Førsteamanuensisen mener FHI og Simula ikke hørte på kritikken i tilstrekkelig grad, og mener også Datatilsynet ikke var involvert i tilstrekkelig grad. 

– Det var skuffende å se hvordan det utspilte seg og at vi ikke benyttet oss av en kjempemulighet til å bruke veldig god og avansert teknologi i pandemibekjempelsen. Det er klart at vi må bruke avansert teknologi også i fremtiden, men det må være en personvernvennlig teknologi, mener hun. 

– Og når vi ser på antall nedlastninger nå, så er ikke tallene akkurat slående. Det kan være grunn til å lure på om folk ble litt skremt. 

Digital skole 

Da Dana Jaedicke havnet på hjemmekontor og hadde barn på hjemmeskole, fikk personverneksperten også øynene opp for utfordringer med personvern i skolen.

– Som både fagperson og forelder så jeg kanskje mulige konsekvenser tydeligere og tidligere enn en del andre. Man deltar plutselig i foreldrediskusjoner om digitalisering av norsk skole på en annen måte, sier hun. 

Jaedicke berømmer lærerne for hvordan de kastet seg rundt og fikk hjemmeskole til å fungere raskt. 

– Så kan man si en del om valg av verktøy og lignende, men lærerne hadde lite støtte og lite erfaring om lisenser, avtaler, overføring av personopplysninger å bygge på. Skolene gjorde det de kunne, og resultatene ble naturligvis varierende deretter.

Da pandemien sendte alle elevene på hjemmeskole i mars 2020 var det ikke lett å se for seg at man fortsatt skulle være i en krevende situasjon to år senere. Jaedicke mener det var enklere å akseptere midlertidige løsninger for to år siden, og er opptatt av disse løsningene ikke må videreføres bare fordi man har blitt vant til dem og de fungerer, hvis de ikke er godt nok risikovurdert også i forhold til informasjonssikkerhet og personvern. 

– Vi er ikke lenger i en unntakssituasjon, men det er blitt hverdagen for mange elever og lærere å bruke disse hjelpemidlene. Det er på tide å puste dypt, orientere seg om hva regelverket sier, hvilke muligheter man har, og kartlegge hvem som har ansvar for hva, mener hun. Skolesec prosjektet til KSer et kjempeviktig bidrag i riktig retning, mener hun.

Jaedicke mener mange av de digitale løsningene som skolene har tatt i bruk på sikt kan føre til konsekvenser man ikke har rukket å reflektere tilstrekkelig rundt. 

– Hva betyr det egentlig at alle førsteklassinger får en Apple-konto og en iPad utlevert? Gjør vi dem til lojale Apple-kunder fra 6-7-årsalderen? La oss tenke litt på hva vi driver med og begynne å tenke mer helthetlig, sier hun. 

Selv opplever hun at flere lærere og barn begynner å bli litt lei av skjermene og finner tilbake til mer fysiske bøker. 

– Digitalisering er bra, men ikke for enhver pris. Det handler om å bruke riktig verktøy til rett tid. I en ideell verden skal lærerne være mest opptatt av pedagogiske gevinster når de velger digitale løsninger, mens andre må sørge for at de kun velger mellom løsninger som ivaretar barnas personvern mener hun. 

Malgorzata Cyndecka mener det var skuffende at det ikke kom på plass retningslinjer «raskt nok».

– Vi hadde retningslinjer fra både Danmark og Sverige vi kunne se til, men det var utfordrende i starten. Vi manglet retningslinjer fra Datatilsynet. I dag vet vi mer om hvordan skolene bør forholde seg til digitale hjelpemidler og personvern, så det bør være lettere, emner hun.

Jaedicke har også vært veldig opptatt av personvern og debatten om såkalte «adaptive læringsmidler» i skolen. 

– En ekspertgruppesom er oppnevnt av Kunnskapsdepartementet ser på muligheter for hjemler i opplæringsloven for at skolen kan ta i bruk adaptive læringsmidler. Det høres jo ok ut at læring skal tilpasses eleven, og slik tilpasning gjøres jo allerede i dag, men det er en risikosport når teknologi tilføyes denne prosessen: man må ta sine forholdsregler, og få øvd seg skikkelig før man setter seg bak rattet til en Formel 1 bil- ellers så havner man i grøfta, sier hun. 

Jaedicke mener problemer er at de som bærer risikoen for at dette ikke fungerer etter planen er elevene, og ikke de som utvikler løsningene eller lærerne som velger å ta dem i bruk. 

Hun mener en lærer vil kunne fange opp ting på en annen måte enn maskinlæring. 

– Den optimistiske tiltroen til data og at alt kan måles og effektiviseres er en del av en større samfunnstrend.  Men hvor mye skal vi stole på statistikk? Vi har tidligere sett eksempler på folk som objektivt sett ikke hadde de beste forutsetningene for å lykkes, noen ganger får utrettet fantastiske ting i livet. 

– Fratar man noen sjansen ved å stole for mye på statistikk og tidligere erfaringer? spør hun 

– Her er det overhodet ikke snakk om å forby bruk av teknologi, men å bygge tilstrekkelig sikkerhetsnett i form av rutiner og prosesser som sikrer at mennesker bedømmes av mennesker og lever i et menneskestyrt samfunn, som bygger på etiske prinsipper og demokratiske verdier. 

Svarte skjermer på Zoom

Også på universiteter og høyskoler møtte studentene og underviserne en helt ny hverdag. Det ble diskusjoner om svarte skjermer og om det kunne kreves at studentene møtte opp til digital undervisning med lyd og bilde.

«Det er nødvendig at studenter og lærere ser hverandre» skrev dosent Hilde Larsen Damsgaard i Khrono.

Ved Universitetet i Bergen fikk Malgorzata Cyndecka i oppgave av juridisk fakultet å utrede mulighetene for blant annet å pålegge studentene å logge på forelesninger med lyd og bilde. Hun har også bidratt til nye regler for personvern og digitalundervising for hele universitetet. 

– Det var mye diskusjon om de svarte skjermene, og foreleserne var slitne og lei. Det er en veldig interessant problemstilling, men her må man være nøye med vurderingene av hva som er nødvendig for å oppnå formålet, sier hun.

Hun sier det kun er når målet med undervisningen ikke kan oppnås uten at universitetet kan kreve at studentene logger på med lyd og bilde. 

– Bare når det er nødvendig å behandle personopplysninger for å nå målet med undervisningen kan det kreves. Det kan selvfølgelig være ubehagelig for foreleserne, men sånn er det bare. 

– Men i visse tilfeller er det faktisk lovlig å pålegge studentene å delta med bilde og lyd. Det kan være i undervisning med obligatorisk oppmøte og i seminarer hvor det er nødvendig med dialog, ikke bare mellom student og underviser, men også mellom studentene, sier Cyndecka.

En endret arbeidshverdag 

Mange arbeidstakere har tilbragt store deler av de siste to årene på hjemmekontor, riktignok med noen perioder innimellom hvor samfunnet har vært mer åpent. Mange savner hverdagen på kontoret, men mange trives også godt på hjemmekontoret. 

Mange arbeidstakere har tilbragt store deler av de siste to årene på hjemmekontor, riktignok med noen perioder innimellom hvor samfunnet har vært mer åpent. Mange savner hverdagen på kontoret, men mange trives også godt på hjemmekontoret. 

Dana Jaedicke lurer på om arbeidslivet «henger med i svingene» i utviklingen vi nå ser med tanke på hjemmekontor. 

– Arbeidsmiljøloven kapittel 9 gjelder kontrolltiltak en arbeidsgiver kan iverksette for å ha oversikt over hva de ansatte gjør. Jeg lurer på om disse grensene er litt sprengt. Når er behovet så stort at man må ta i bruk teknologiske løsninger for å overvåke? spør hun. 

– Det bør være skjellig grunn til mistanke før slike tiltak gjøres. Noen har også ønsket å se hvilke nettsider de ansatte bruker, når de skrur på dataen og lignende. Og teknologien åpner for noen shortcuts som kan være fristende, sier hun, og fortsetter:

– Teknologien er ikke god eller dårlig, etisk eller uetisk – det er det vår bruk som er det. Hvis man tar i bruk disse fantastiske mulighetene for overvåking – hvor kommer man med det? På kontoret hadde man tilgang til representanter for fagforeninger, verneombud og lignende – hvordan fungerer dette på hjemmekontor? Har vi tilstrekkelige mekanismer for å gi tilsvarende vern for arbeidstakere på hjemmekontor?

Jaedicke forteller om nye teknologiersom basert på maskinlæring kan følge databrukerens øyebevegelser, fange opp om man kikker ned på papirer ved siden av seg, hvilke nettsider man åpner og så videre. 

– Det har vært snakk om slike løsninger kan brukes for å avsløre juks blant studenter på hjemmeeksamener, men det er en veldig inngripende måte å overvåke noen på, mener hun. 

– I lys av pandemien har det også vært mange diskusjoner om produkter som fantes før koronaen, men som plutselig ble brukt av vanvittig mange flere uten at personvern var vurdert på forhånd. Folk trenger mye mer teknologikompetanse for å forstå jussen også.

 Malgorzata Cyndecka trekker frem spørsmålet om arbeidsgiver kan spørre om den ansatte er vaksinert, har gjennomgått koronasykdom eller vært i utlandet med mye smitte som en spennende personvernsdiskusjon i arbeidslivet.

– Dette har kanskje ikke vært veldig mye diskutert i Norge før ganske nylig, men i andre land har det til og med vært rettssaker. Det er vanskelige spørsmål å besvare. Du har arbeidsmiljøloven og personopplysningsloven som du må se til, og til syvende og sist er det opp til arbeidsgiver å finne ut av om de har gode nok grunner til å spørre om slike ting, sier hun.

– Det er forskjell på å spørre en sykepleier eller lege disse spørsmålene enn en som vanligvis ikke har kontakt med syke mennesker.

Cyndecka har ikke eksempler på at det har vært konflikter rundt dette i Norge, bortsett fra diskusjonen om nettopp helsepersonell, men påpeker at ordningen med hjemmekontor har vært såpass utbredt at det foreløpig ikke har vært så aktuelt.

– Men jeg håper vi får mer forskning på hvordan arbeidsgivere har forholdt seg til disse utfordringene. I andre land har det vært mye snakk om koronapass på arbeidsplasser. Kanskje blir det en diskusjon her også, men man må huske på forholdsmessigheten. Det må hele tiden være tiltak som er forholdsmessig. 

Samtykke og smittesporing

Førsteamanuensis Cyndecka trekker også frem registrering av gjester på restauranter og utesteder som en utfordring som vekker personverndiskusjoner. 

Hun mener det er et problem at man ifølge myndighetene skal benytte seg av samtykke som behandlings­­grunnlag.

– Vi vet jo at enhver behandling av personopplysninger krever et behandlingsgrunnlag. Og så lurer jeg veldig på hvem som fant på at man skal bruke samtykke i denne situasjonen, for det er minst to ting som tilsier at samtykke er uegnet, sier hun, og utdyper:

– For det første så er samtykke frivillig, så da får vi spørsmålet om hva en restaurant skal gjøre dersom en gjest ikke vil registrere seg. Hele poenget med registreringen er jo smittesporing, noe som er kjempeviktig for samfunnet.

Cyndecka peker også på at man har frihet til å trekke tilbake et samtykke. 

– Man kan altså samtykke, men så trekke det tilbake etterpå. Da sitter restauranten med personopplysninger som ikke kan brukes, men må slettes. Jeg synes det er håpløst. Det forvirrer også folk med tanke på hva samtykke egentlig innebærer, mener hun.

Videre tror Cyndecka vi vil fortsette å møte flere utfordringer og diskusjoner rundt personvern og forskning, og da spesielt helseforskning. 

– Det har for eksempel vært spørsmål om man kan samarbeide med utenlandske laboratorier for å forske på pandemien og yte god helsehjelp. Der har vi utfordringer med blant overføring av personopplysninger til andre land, sier hun.

– Slike spørsmål bør avklares raskt så det ikke er noen tvil, for dette er ikke den siste pandemien vi ser. Reglene bør være klare, mener førsteamanuensisen.

En endret tålegrense?

Både Cyndecka og Jaedicke opplever en økende bevissthet rundt personvern. Cyndecka tror vi vil se dette i økende grad fremover ettersom folk i større grad begynner å bli lei av tiltakene og flere ønsker å kikke nærmere på reglene. 

Mange av tiltakene i forbindelse med pandemien er jo midlertidige, men blir grensen for hva vi opplever som greit når det kommer til håndtering av personopplysninger pushet?

– Det er et spennende spørsmål. Hvordan har tankemåten til nordmenn rundt disse tingene endret seg? Jeg vet ikke, men det vil vi nok se nærmere på i tiden som kommer, tror Cyndecka.

Jaedicke peker på at hvor tålegrensen for folk går ofte er veldig individuelt, men at man vet at de unges grenser er annerledes enn hos de eldre.

– Noen sier de unge er bedre med IT sikkerhet, men på den andre siden deler de mer utleverende informasjon. Det kan generelt virke som smertegrensen for unge er høyere hvis man opplever en nytteverdi av verktøyene, sier hun.

Hun synes det er en gjenganger at mange, og unge spesielt, ofte fokuserer på de kortsiktige gevinstene fremfor den langsiktige, og hypotetiske risikoen. 

– Går du over veien på rødt lys er det ganske enkelt å se hva konsekvensen potensielt kan bli. Slik er det sjelden med personvern. Risikoen ligger ofte lenger frem i tid og er ikke så håndgripelig. 

Med tanke på om samfunnets smertegrenser for hva som er greit innenfor personvern har flyttet på seg varig under pandemien, håper hun han svaret er nei.