I år har vi slått sammen både årsrapporten og årsmeldingen til ett dokument I denne rapporten kan du finne tall og tendenser fra Datatilsynets virksomhet for 2018. Du kan også lese om hva som preget året på personvernfeltet, og hvilke utfordringer vi ser fremover. Her er en smakebit fra forordet.
Av direktør Bjørn Erik Thon
Året 2018 har stått i personvernets tegn. Det skyldes selvsagt at den nye personvernforordningen (General Data Protection Regulation, også kalt GDPR) trådte i kraft i EU-landene 25. mai. Faktisk viser statistikken over Google-søk fra denne dagen at «GDPR» var mer brukt som søkeord enn Kim Kardashian og Beyoncé (men nå skal det i sannhet sies at de nevnte kvinner var tilbake på topp etter noen dager igjen)!
Vårt arbeid med forordningen, og den betydningen den har hatt for mange virksomheter, får bred omtale i denne rapporten. Det jeg vil ta opp i denne innledningen, er imidlertid noe som for mange kanskje er selvsagt, men som blir en stadig viktigere del av samfunnsdebatten, nemlig at personvern ikke handler om data, men om mennesker, politikk og makt. Tidligere var personvern noe man – litt upresist sagt – drev med på datarommene. I dag er personvern i høyeste grad til stede i nær sagt enhver samfunnsdebatt.
I Storbritannia gransker det britiske datatilsynet hvordan data ble brukt, eller misbrukt, i Brexit-kampen. Og i USA tyder mye på at bruk av data bidro til at Donald Trump vant valget. Dette viser med all mulig tydelighet at personvern også handler om den viktigste bærebjelken i samfunnet vårt, nemlig demokratiet.
Personvern handler også om makt. Listen over verdens ti største selskaper er interessant. For ti år siden var de mest verdifulle selskapene i verden stort sett energiselskaper. I 2018 var topp syv utelukkende teknologiselskaper, med Apple, Amazon og Alphabet (Google) på de tre øverste plassene, mens to kinesiske selskaper også var representert. Det disse selskapene har til felles, er at de har enorme datamengder som samles på plattformer, enormt med penger så de kan kjøpe opp sine konkurrenter og de tiltrekker seg de beste hodene. De betaler heller ikke særlig mye skatt. At data er makt i 2018 er ingen overdrivelse. Eksemplene over viser at man kan påvirke valg ved hjelp av dataanalyse. Det er også svært betenkelig at noen selskaper har fått bygd seg så rike og så mektige. Derfor er det ikke overraskende at både konkurranse-, personvern- og forbrukermyndigheter har anlagt en rekke saker mot teknologigigantene.
I forlengelsen av dette oppstår ytterligere et spørsmål: Selv om mye av det selskapene gjør sannsynligvis er lovlig, er det slik vi vil ha det? Personvern og etikk har derfor blitt et tema som har seilt opp på den politiske dagsorden. Dette er særlig trigget av utviklingen innen kunstig intelligens. Vi har sett det i flere år, og utviklingen vil skyte fart. Mennesker fases ut av beslutninger, og algoritmer og kunstig intelligens treffer avgjørelser den menneskelige hjerne ikke kan forutse, eller etterprøve. Det kan dreie seg om alt fra innvilgelse av lån, lengden på en fengselsstraff, om man er kredittverdig eller ikke, eller om man får forsikring eller ikke. På den internasjonale personvernkonferansen i Brussel høsten 2018, ble det derfor vedtatt en deklarasjon om etisk og brukervennlig kunstig intelligens. Den er inspirert av den såkalte Nürnberg-kodeksen som vokste fram i kjølvannet av 2. verdenskrig, og som skulle forhindre at mennesker igjen skulle bli utsatt for forferdelige eksperimenter. Her er hovedpunktene i deklarasjonen:
Kunstig intelligens må utvikles og brukes på en måte som har respekt for enkeltindividets interesser. Det vil si at den må utvikles og brukes på en måte som ikke bryter med folks forventninger til hvordan data som er samles inn om dem, blir brukt.
Løsninger basert på kunstig intelligens må være åpne og gjennomsiktige. En bekymring knyttet til kunstig intelligens er at man ikke alltid vet hvordan beslutningene blir produsert. Ofte vil systemene produsere et svar uten noen forklaring. Dette gjør det vanskelig for enkeltindivider å imøtegå, og eventuelt klage på, beslutningene som systemene tar.
Kunstig intelligens må utvikles og brukes på en måte som bygger opp om individets rettigheter. Folk skal blant annet ha rett til innsyn i hvilke data som samles inn om dem og til informasjon om hvordan opplysningene brukes. Folk skal ha rett til en forklaring på beslutningene maskinene tar og rett til å klage på dem.
Virksomheter som utvikler og bruker kunstig intelligens må evaluere effekten systemene har. De må sikre at systemene ikke produserer beslutninger som fører til usaklig forskjellsbehandling av enkeltpersoner.
Systemer for kunstig intelligens må bygges etter prinsippene for innebygd personvern. Det vil si at systemene teknisk og organisatorisk må være bygd opp på en måte som ivaretar individets interesser.
Kunstig intelligens må utvikles og brukes på en måte som hindrer at algoritmene trenes opp til å ta diskriminerende og fordomsfulle beslutninger. Dette kan blant annet gjøres ved å være oppmerksom på viktigheten av å ha oppdaterte, korrekte og representative data.