Dato: 10.02.2023 Innspill til høring om NOU 2022:11 Ditt personvern - vårt felles ansvar. Personvernkommisjonens rapport Attac Norge vil gratulere med en svært omfattende og god kartlegging av personvernets stilling i Norge. Vi slutter oss i hovedsak til alle foreslåtte anbefalinger fra Personvernkommisjonen. Attac Norge vil legge spesielt vekt på følgende: Kommersiell overvåking Digital annonsering har blitt en stor industri og dagens digitale annonsemarked gjennomsyrer flere samfunnsstrukturer, både kommersielt, i media og politisk. Dessverre er dette markedet bygget på atferdsbasert annonsering, en annonseløsning som utsetter samfunnet for store risikoer og som bryter med personvernet. Vi viser til høringsinnspillet fra selskapet Kobler AS, som tydeliggjør at det allerede finnes andre typer annonseløsninger basert på kontekstuell annonsering og som er både lønnsomme og trygge når det kommer til behandling av person data og privatopplysning. Basert på dette anbefaler vi at: • Det innføres et generelt forbud mot atferdsbasert markedsføring slik flertallet i kommisjonen ønsker. Det er et nødvendig tiltak som i tillegg bidrar til å ivareta landets nasjonale sikkerhet. Styrke tilsynsmyndighetene Kommisjonen drøfter behovet for fungerende håndheving av regelverket. Et sterkt personvernregelverk har liten verdi om det ikke blir håndhevet på en tilstrekkelig måte. Håndheving av personvernet må styrkes betydelig. Oppgaven handler om å regulere et økende og omfattende marked med en verdi på over 600 milliarder dollar årlig på verdensbasis. I dag må Datatilsynet klare seg med i overkant av 50 ansatte som gjør en god jobb, men som har lite kapasitet til å jobbe pro-aktivt og har svært lang saksbehandlingstid. Vi anbefaler derfor at: • Datatilsynet må styrkes betraktelig, med en dobling i antall ansatte i løpet av de kommende årene, for å være rustet til å møte en digitalisert hverdag. • I tillegg bør det opprettes et eget algoritmetilsyn som er i stand til å sikre at såkalt «kunstig intelligens» og tilsvarende teknologier særlig som brukes i Norge, følger personvernet. Våre videre anbefalinger Utover anbefalingene fra Personvernkommisjonen vil legge til følgende for Stortingets behandling. Personvern og arbeidsliv Til tross for at vi mener rapporten er svært god, ser vi at det mangler et kapittel. Ordet arbeidstaker er brukt 7 ganger på 230 sider. I den svært korte diskusjonen av personvern i arbeidslivet påpeker kommisjonen at det er en sterk maktubalanse mellom arbeidstaker og arbeidsgiver. Vi anbefaler derfor at: • Det lages en egen gjennomgang av personvern i arbeidslivet som et tillegg til kommisjonens rapport. Internasjonale avtaler og personvern Kommisjonen anbefaler at regjeringen «bør føre en aktiv politikk for felles europeiske regler» og «delta aktivt i rettslige og politiske prosesser i EU for å arbeide for bedre personvernregelverk». Her vil vi anbefale at man i tillegg til å se på europeiske regler bør man også se på andre internasjonale avtaler, og da spesielt handelsavtaler. Her er det to hensyn som legges inn i handelsavtalene som kan komme direkte i strid med personvernhensyn. Det ene er såkalt «fri flyt av data», altså at selskaper skal ha rett til å samle inn data, lagre og bruke dem hvor de vil. Det andre er at avtalene hindrer land i å stille krav om at data skal lagres og behandles nasjonalt. Problemet med lagring i tredjeland har kommet opp i forbindelse med «Privacy Shield»-avtalen mellom EU og USA og Schrems II-dommen. Et slikt forbud mot å kreve at sensitive personopplysninger skal lagres i Norge finnes allerede i avtalen som vi har signert med Storbritannia. Siden Storbritannia er i en prosess med å lage et såkalt «mer næringslivvennlig personvernregelverk» og gå bort fra EU-regelverket GDPR, risikerer vi at sensitive norske personopplysninger kan lagres i Storbritannia med svakere personvern. At data lagres i Norge er ikke nødvendigvis avgjørende, men det er avgjørende at de er underlagt norsk jurisdiksjon. Norske personvernregler vil være verdiløse hvis data kan lagres i land hvor disse vanskelig kan håndheves, enten fordi personvernregelverket er annerledes eller fordi norske myndigheter ikke kan føre tilsyn med at de håndheves. Avtalen med Storbritannia, og foreslåtte avtaler i WTO, legger også føringer som hindrer innsyn og tilgang til kildekodene og algoritmene i selskapenes programvare for offentlige myndigheter og offentlige organer. Dette vil kunne undergrave alle anbefalingene til Personvernkommisjonens rundt bruk av kunstig intelligens, altså algoritmer. Det vil også hindre tilsynsmyndigheters mulighet til å kontrollere hva selskapene gjør, både for Datatilsynet som skal sikre personvernet og for f.eks. Likestillings- og Diskrimineringsombudet som må kunne undersøke om automatiserte systemer er diskriminerende. På bakgrunn av dette anbefaler vi at: • Regjeringen lager en egen utredning av hvilke konsekvenser kapitler om digital handel i handelsavtaler vil få for personvern før man inngår nye avtaler. Gjeldende avtaler med negative konsekvenser for personvern bør reforhandles. • Tilsvarende bør personvernhensyn legges inn som en del av mandatet i alle forhandlinger Norge deltar i. Anskaffelser som virkemiddel Statens rolle som forbruker er et sterkt virkemiddel som brukes ofte av myndighetene for å legge til rette for en ønsket samfunnsutvikling. Offentlig sektors kjøpekraft må sees i lys av personvernet og brukes aktivt som håndhevingsverktøy. Vi anbefaler derfor å: • Legge til rette for at offentlige og statlige direktorater, etater og kommuner slutter å bruke annonseløsninger som misbruker persondata fra 1. januar 2024, slik det har blitt foreslått i andre innspill. Digitale løsninger underlagt demokratisk kontroll Kommisjonen drøfter utfordringer med «skyløsninger» og annen programvare på en god måte i kapittel 5 og personvern i forvaltningen i kapittel 6. Vi mener dette må sees i enda sterkere sammenheng. Det finnes allerede flere eksempler på grovere personvernbrudd i helsevesenet på grunn av IT-løsninger som er outsourcet etter råd fra eksterne konsulentselskap. Digitale verktøy er så sentrale i forvaltning og offentlige tjenester at det ikke kan settes ut til eksterne leverandører, men må sees som en del av kjerneoppgaven til etater og institusjoner. Så og si alle arbeidsoppgaver i det offentlige utføres ved hjelp av digitale verktøy, og dette må kunne utføres uten personvernrisiko. Det er ikke tilfellet i dag. Spesielt skyløsninger med lagring i tredjeland er en viktig problemstilling, der for eksempel helsedata behandles i India (som skjedde i Helse SørØst) eller sensitive personopplysninger samlet inn av forskere ved OsloMet og SSB risikerer å bli lagret på amerikansk-eide servere (henholdsvis eid av Microsoft og Google). Som Schrems II-dommen viser så er amerikansk lovgivning en personvernutfordring, og sensitive personopplysninger lagret der er ikke sikret i henhold til GDPR. Her mener vi at det er et tydelig behov for en annen politikk. Dagens politikk for IT-løsninger er i stor grad basert på ekstern kompetanse, både i planlegging og utvikling. Anskaffelse og innkjøp fra private selskaper, som oftest med amerikansk-eide løsninger, er hovedregelen. Dette gjør det vanskeligere for forvaltningen å sikre personvernet i IT-løsningene som benyttes. Hovedregelen bør være at planlegging og utvikling skjer i egen regi, og at ekstern kompetanse skal være et tillegg til egen kompetanse, ikke en erstatning for den. Egne ansatte utviklere som har ansvar for løsninger over tid vil alltid ha en fordel framfor innleide konsulentselskaper (som forsvinner etter en gitt leveringsdato) og anskaffede ferdigløsninger, da de kan utvikle løsningene sammen med brukerne og tilpasse dem til nye behov. Erfaringene med systemer som Visma inSchool (i videregående skole) og Helseplattformen (i Midt-Norge) som har store tekniske utfordringer generelt, viser også andre problemer med dagens anskaffelses-strategi for offentlig IT. I tillegg til personvernutfordringene så må også store IT-systemer sees sammen med digital nasjonal sikkerhet. Vi anbefaler derfor at Regjeringen må sikre: • at offentlige organer og institusjoner har tilstrekke egen kompetanse og er i stand til å ivareta personvern og datasikkerhet i de digitale løsningene som tas i bruk eller utvikles. • Programvare til bruk i forvaltningen skal være en kontinuerlig utviklingsprosess basert på intern kompetanse og skal i hovedsak ikke kjøpes inn gjennom store anskaffelsesprosesser fra eksterne leverandører. • Der det er behov for eksterne leverandører må personvernhensyn og datasikkerhet være avgjørende i anskaffelsesprosessen. • Ledelsesnivåene i offentlige organer og institusjoner må ha sterk kompetanse på personvern og datasikkerhet i egen sektor. Digitaliserings- og forvaltningsdepartementet Til høringen Til toppen <div class="page-survey" data-page-survey="133" data-page-survey-api="/api/survey/SubmitPageSurveyAnswer" data-text-hidden-title="Tilbakemeldingsskjema" data-text-question="Fant du det du lette etter?"
