Verdiene det norske samfunnet kan hente fra store datamengder har blitt sammenlignet med verdiene som er skapt i den norske oljesektoren. Gevinstene som ligger i den datadrevne økonomien skaper nye arbeidsplasser, økt produktivitetsvekst og innovasjon, og er en forutsetning for at vi skal kunne opprettholde velferdsnivået over tid i et samfunn med flere eldre og færre yngre og yrkesaktive. I forbindelse med den internasjonale personverndagen ser vi på hvilke tiltak EU foreslår for å ivareta personvern på vei inn i dataøkonomien?
Økt deling og utnyttelse av data krever at det bygges et tillitsskapende rammeverk, både for offentlige og private virksomheter og for befolkningen. I Norge er vi allerede godt på vei med prinsippene om en åpen offentlig forvaltning som er nedfelt i offentleglova. Det er i tillegg nylig nedsatt et utvalg for datadeling i offentlig sektor som skal foreslå en helhetlig regulering av videre bruk av offentlig informasjon. Den største utviklingen skjer imidlertid i EU. To av regelverkene kan bli vedtatt allerede i løpet 2022: Digital Markets Act og Data Governance Act. I forbindelse med den internasjonale personverndagen tar vi et nærmere blikk på tre viktige sider av disse forslagene som også vil ivareta personvern.
Strengere krav til tech-gigantenes bruk av data
De store tech-selskapene som Google, Facebook og Amazon har betydelige fordeler grunnet sine dominerende markedsposisjoner. Siden de har kontroll over de viktigste digitale plattformene og tjenestene, har de også stor innflytelse på hvilke tjenester som tilbys og får tilgang til enorme datamengder om brukerne. I Digital Markets Act (Digitale markeder-forordningen), omtales disse som gatekeepers eller portvoktere på norsk. Misbruk av den dominerende markedsposisjonen kan føre til mindre valgfrihet, lavere kvalitet og høyere priser, men også stor personvernrisiko. Dette kan illustreres ved at de tre største GDPR-bøtene så langt har gått til Google, Amazon og Meta via WhatsApp, og at flere av bøtene gjelder brudd på grunnleggende personvernrettigheter som retten til informasjon.
For å bøte på noe av denne personvernrisikoen, fastsetter forordningen nye regler for portvokterne. De må avstå fra å kombinere persondata fra ulike kilder. Dette betyr at de ikke kan kombinere persondata fra kjerneplattformene med persondata andre tjenester de tilbyr eller fra tredjeparter, med mindre det foreligger samtykke fra brukeren. Kravet til dette samtykket vil være det samme som i GDPR. Kjernen i forbudet er den økende bekymring for omfanget av målrettet reklame basert på sporing av brukeradferd på internett.
Forordningen forplikter også tech-gigantene til å sikre dataportabilitet for brukerne – det vil si retten til å få med seg egen data fra en leverandør til en annen. Dette skal gjøre det lettere for brukerne å skifte tjenesteleverandør. Dataportabilitet er viktig for å gi brukerne kontroll over egne personopplysninger, men også for å sikre konkurranse mellom tjenestetilbydere og fjerne terskler for å skifte leverandør. Alt i alt er dette positivt for personvernet og ikke minst fra et forbrukerståsted.
Donér egne personopplysninger til gode formål
Data Governance Act (Datastyringsforordningen) skal gjøre det lettere å få tilgang til data som lagres hos virksomheter i offentlig sektor, også på nærmere vilkår data som er underlagt taushetsplikt som eksempelvis helseopplysninger.
En av nyvinningene i forordningen er konseptet «data-altruisme». Data-altruisme legger til rette for at enkeltpersoner kan donere egen data til samfunnsnyttige formål som forskning eller forbedring av offentlige tjenester.
I tillegg til de åpenbare fordelene for forskningsprosjekter, kan potensialet være stort for å hente ut gevinster i form av forbedring av offentlige tjenester dersom data-altrusime slår an. NAVs prosjekt i Datatilsynets sandkasse ble nylig avsluttet med en foreløpig konklusjon om at NAV hadde lovhjemmel for å behandle personopplysninger med en algoritme i enkeltsaker, men manglet rettslig grunnlag til å bruke historiske data. Med andre ord dekket ikke lovhjemmelen bruk av personopplysninger fra tidligere saker, for det formål å utvikle og sikre at bruk av algoritmen ikke fører til urettferdig behandling. Kanskje kunne personopplysninger donert i av data-altruister over hele Europa brukes for å ivareta det resterende behovet og tette hjemmelsgapet?
Gode nyheter for personvernet - og for virksomheter som ønsker tilgang til offentlige data
Datastyringsforordningen inneholder også bestemmelser som kan være gode nyheter for virksomheter som vil ha tilgang til offentlige data, og samtidig kan ha gode personverneffekter. Forordningen setter opp et rammeverk for hvordan offentlige virksomheter skal gi tilgang til opplysninger som gjør prosessen mer forutsigbar, ensartet og enklere å forholde seg til.
For det første får offentlige virksomheter en plikt til å offentliggjøre vilkårene for tilgangen til data. Dette øker forutsigbarheten, og gjør tilgang enklere særlig for virksomheter som ikke har ressurser til å orientere seg i forvaltningsregelverket. For det andre kan den offentlige virksomheten som innehar data stille krav til informasjonssikkerhet og personverntiltak. Eksempelvis kan en forutsetning for gjenbruk av personopplysninger være at det gjennomføres anonymiserings- eller pseudonymiseringstiltak, eller at dataene behandles videre i et sikkert miljø som er under den offentlige myndighetens kontroll. Pålegg og krav kan fremstå som negativt for virksomhetene som ønsker å gjenbruke data, men i realiteten kan det gjøre deres sikkerhets- og personvernvurderinger enklere fordi den offentlige virksomheten vil ta et større ansvar for veiledning og gjennomføring av disse vurderingene.
Den offentlige virksomheten har også ansvar for å innhente samtykke fra personer som inngår i datasettet hvis det er nødvendig. Til slutt krever forordningen at det opprettes en felles ressurs som skal bistå de offentlige virksomhetene med å oppfylle kravene og pliktene. Dette skal bidra til at tilgangen til data ikke er avhengig av den enkelte offentlige virksomhets ressurser og prioriteringer. Til sist pålegger forordningen statene å utpeke et eller flere organer som skal bistå de offentlige virksomhetene med å oppfylle plikten og bidra til økt deling.. Rammeverket kan minne om løsningen vi har i Norge for videre bruk av helseopplysninger i Helsedataservice som ble etablert i 2021.
Skjær i datasjøen?
Noen utfordringer gjenstår. Det europeiske personvernrådet har kritisert at det er uklare forhold mellom personvernregelverket og de nye rettsaktene. Data-altruisme kan også hevdes å ha negative sider for personvernet og de registrertes egenkontroll, om dette i fremtiden blir sett på som det rette å gjøre for å bidra til samfunnets beste. Det gjenstår å se hva dette vil føre til videre, både hva gjelder ivaretakelse av personvern og tilrettelegging for dataøkonomien. Forhåpentligvis vil uoverensstemmelsene løses uten å skape for stor usikkerhet rundt regelverket når det skal tas i bruk og bidra positivt inn i dataøkonomien. Personvernåret 2022 blir neppe kjedelig.