I forbindelse med vår årlige markering av personverndagen sammen med Datatilsynet i slutten av januar, har Teknologirådet laget en oversikt over viktige hendelser for personvernet i 2023 – og hva vi følger med på i 2024.
Dette skjedde i 2023:
Lovlig flyt av persondata mellom Europa og USA – enn så lenge?
Etter Schrems-II dommen i 2020 har det vært usikkert om det er lovlig å bruke tjenester som Google Analytics i Europa, ettersom tjenesten overfører personopplysninger til USA. I 2023 kom en ny databehandlingsavtale mellom EU og USA på plass, der USA sa seg villig til å gjøre endringer i etterretningslover, som ikke var i tråd med europeiske personvernregler. Avtalen EU-U.S. Data Privacy Framework innebærer at sertifiserte selskaper kan behandle (og overføre) personopplysninger mellom Europa og USA.
Organisasjonen NOYB, med Max Schrems i spissen, er likevel ikke fornøyd med avtalen, og varsler at de går rettens vei en tredje gang for å utfordre dataoverføringen. Det gjenstår å se om en tredje Schrems-dom vil stikke kjepper i hjulene for dataoverføring til USA.
Personvern for 149 kr i måneden
I juni 2023 la Datatilsynet ned et midlertidig forbud mot Metas atferdsbaserte reklame. Det vil si at Meta ikke kan vise reklame til brukerne sine, hvis den er basert på data som er samlet inn gjennom å spore dem på nett. Dermed utfordres det som har blitt den dominerende forretningsmodellen til sosiale medie-plattformene. Etter Datatilsynets vedtak besluttet det europeiske Personvernrådet (EDPB) å utvide forbudet til å gjelde hele EU/EØS – i tillegg til å gjøre det permanent.
Forbudet ga liv til Metas nye forretningsmodell «pay or okay»: Betal ca. 149 kr i måneden for å slippe reklame basert på sporing på tjenester som Facebook og Instagram, eller si «okay» til å bli sporet og motta atferdsbasert reklame som før. Det gjenstår å se om den nye samtykkeløsningen bryter med reglene i personvernforordningen. Hvis «pay or okay» består som forretningsmodell, kan det føre til at andre plattformer innfører lignende betalingsløsninger – og gjøre personvern svært dyrt for europeiske brukere.
Bilen har blitt «et personvernmareritt»
Ifølge en undersøkelse gjort av Mozilla Foundation Fund har den moderne bilen blitt et personvernmareritt. Utstyrt med kameraer, mikrofoner, smartskjermer, bevegelsessensorer og tilhørende apper, samler bilen inn detaljert informasjon. Undersøkelsen til Mozilla viser at 25 store bilmerker hadde personvernerklæringer som var mangelfulle, og hele 84 prosent av bilselskapene delte persondata og sensitive opplysninger med andre tjenestetilbydere og annonsebørser på nett. I brukeravtalen til Nissan står det blant annet at informasjon om seksuell aktivitet, helsetilstand og genetisk informasjon både kan samles inn og brukes til markedsføring.
Store datalekkasjer fra bilselskaper viser at personvernet i bilen ikke blir tilstrekkelig ivaretatt. Toyota lekket lokasjonsdata fra 2 millioner brukere i 10 år grunnet en teknisk feil, og Tesla-ansatte har delt svært private opptak og bilder fra Tesla-biler på interne chatteforum. En del av disse bildene er også av mennesker som befinner seg utenfor bilen, som bilder av ulykker eller en naken person på gata. I Kina har Tesla-biler blitt forbudt i enkelte områder, grunnet bekymring for at bilene kan samle inn sensitiv informasjon som igjen kan true landets sikkerhet.
Barn i søkelyset
I 2023 brukte over halvparten av Norges unge befolkning TikTok daglig, men tjenesten har slurvet med personvernet til de yngste brukerne. I september i fjor ga det irske datatilsynet en bot til TikTok – på hele 3,9 milliarder kroner – for brudd på barn og unges personvern. Blant årsakene til boten var manglende aldersverifisering, personvern-innstillinger som ikke var automatisk aktivert og pop-up-vinduer som oppfordret unge brukere til å gjøre innleggene sine offentlige.
TikTok er ikke alene om å neglisjere barn og unges personvern. I USA har Amazon fått bot for å lagre taledata om mindreårige gjennom Alexa, også fra dørklokken Ring. På tross av at foreldre ba Amazon om å slette barnas taledata, fortsatte Amazon å lagre disse dataene. Amerikanske konkurransemyndigheter har nå foreslått endringer i personvernloven for barn og unge (Children’s Online Privacy Protection Act – COPPA) som forbyr innsamling av data om barn under 13 år, for å styrke rettighetene til barn og unge på nett.
Dette følger vi med på i 2024:
Olympisk overvåkning
Under sommerens OL i Paris vil hundrevis av kameraer utstyrt med kunstig intelligens overvåke offentlige steder. Kameraene skal identifisere og flagge alt fra mistenkelige objekter og våpen til uautorisert ferdsel, eller unormale bevegelser i det offentlige rom, som at noen ligger på bakken. Kameraene skal fortsette å overvåke folkemengder fram til mars 2025 – lenge etter at arrangementet er over. De avanserte algoritmene i smartkameraene skal i teorien ikke identifisere enkeltpersoner, eksempelvis gjennom ansiktsgjenkjenning, men derimot flagge «uønskede scenarioer» i det offentlige rom. Bekymringen for økt og mer avansert overvåking er likevel stor, for eksempel at kameraene kan brukes til å avdekke og begrense aktivister og demonstrasjoner.
I Storbritannia har bruk av ansiktsgjenkjenning blitt utbredt. Under Grand Prix i Formel-1 i fjor sommer ble ansiktsgjenkjenning i sanntid tatt i bruk. En ny lov som vil gi myndighetene enda flere muligheter til å spore og samle inn informasjon om innbyggernes nettaktivitet ligger nå til behandling i Parlamentet. Kritikerne frykter loven vil skape presedens for masseovervåkning, og har derfor fått kallenavnet «Snoopers’ Charter».
EUs lov om kunstig intelligens (KI)
I 2023 ble det enighet om EUs nye KI-lov – Artificial Intelligence Act. Detaljene ferdigstilles i disse dager, og loven vil tre i kraft i Norge tidligst i 2026. AI Act både forbyr og åpner for bruk av ulike typer kunstig intelligens, og vil ha flere bestemmelser som er viktige for personvernet. Blant annet blir det forbudt for politiet å bruke ansiktsgjenkjenning på offentlig sted i sanntid, samt å bruke KI til å predikere om en person vil utføre kriminelle handlinger. Hvorvidt det blir lov å søke etter mistenkte eller etterlyste med ansiktsgjenkjenning i databaser på nett, diskuteres fortsatt.
Det blir også forbud mot KI-systemer som samler ansiktsbilder fra nett eller fra videoovervåkning. I tillegg vil biometriske systemer som kategoriserer mennesker på bakgrunn av for eksempel etnisk tilhørighet, religion eller seksuell orientering bli ansett som en uakseptabel risiko. Dette gjelder også misbruk av systemer som deler folk inn i grupper basert på oppførsel eller personlighet. Bruk av følelsesgjenkjenning på jobb og innen utdanning blir forbudt, men det legges ellers ingen begrensninger på kommersiell bruk av teknologien.
Cookies fases ut, men sporingen fortsetter
Den dominerende modellen for sporing av aktivitet på nett kan være på vei ut i 2024. Google faser ut cookies som sporer brukere på tvers av nettsider, noe som ofte brukes for å tilby målrettet reklame. I tillegg tester Google «sporingsbeskyttelse» for 30 millioner brukere.
De nye løsningene betyr imidlertid ikke at Google slutter å samle inn data: Alt brukerne gjør i Chrome vil fortsatt bli sporet, men forskjellen er at dataene skal lagres lokalt framfor å deles med tredjeparter. Chrome-brukere vil deles inn i «kohorter» basert på hvilke nettsteder de besøker, og markedsførere vil kunne kjøpe tilgang til å målrette reklame mot ulike kohorter. Googles mål om å beholde alle dataene om brukerne i sitt eget univers kan være i strid med konkurransereglene.
Skjult etterforskning på nett
I september 2023 trådte endringer i politiloven i kraft som ga PST lov til å lagre, systematisere og analysere all åpent tilgjengelig informasjon på nett i fem år. Nå har regjeringen foreslått endringer i straffeloven som innebærer at PST og etterretningstjenesten vil kunne brukte skjulte tvangsmidler til å etterforske, avverge og forebygge uønsket utenlands påvirkningsvirksomhet. Det gjelder for eksempel dataovervåking på nett – som å innhente lokasjonsdata eller overvåke chatteforum og private meldingstjenester.
Kritikken mot lovendringen som er foreslått handler i all hovedsak om retten til personvern og ytringsfriheten. Dersom myndighetene får nye hjemler til å overvåke innbyggere på nett, kan det ha en nedkjølende effekt på ytringsfriheten og gå på bekostning av personvern. Lovforslaget skal behandles av Stortinget i 2024.
