DEBATT

Uvitende stjerne i ditt eget live video show?

KOMMENTAR: Tingenes internett betyr en nesten ubegrenset mulighet til produksjon og spredning av personlige opplysninger.

Kristian FossKristian FossBidragsyter
27. feb. 2015 - 08:25

Grunnen er at så mange av tingene som nå knyttes opp har sensorer eller på annen måte fanger informasjon om deg. Kameraer og mikrofoner for smarthus, pulsklokker, blotrykkmålere fra sykehus og diagnostikksystemer for biler, bare for å nevne noen få. Denne artikkelen om tingenes internett omhandler farer du bør være obs på, og hvordan vi kan redusere dem.

Dette er del 2 av 6 i en serie om tingenes internett og mulige uheldige virkninger for deg og samfunnet. Del 1 kan du lese her.

For kort tid siden ble vi kjent med at mikrofonen i Samsungs smart tv-er kan fange opp samtaler i rommet. Siden tv-en er koblet til internett kan personer som klarer å skaffe seg tilgang til tv avlytte personene i rommet.

Levende bilder fra tv-er og andre systemer med kameraer vil på samme måte kunne tilflyte utenforstående. Samsungs kameraer er ifølge selskapets retningslinjer for personvern så gode at de er i stand til å autentisere brukerne gjennom ansiktsgjenkjenning.

Selv uten innbrudd medfører stemmegjenkjenningsfunksjonen til verdens største tv-produsent at stemmene sendes til tredjepart for stemmegjenkjenning. Over internett naturligvis. Samsung finner grunn til å advare på denne måten i sine retningslinjer: 

«Please be aware that if your spoken words include personal or other sensitive information, that information will be among the data captured and transmitted to a third party through your use of Voice Recognition.»

Advokat Kristian Foss er IT-advokat i Gille advokater, hvor han arbeider særlig med personvern, kontrakter og immaterialrett knyttet til teknologi. Gille bistår private og offentlige virksomheter.
Advokat Kristian Foss er IT-advokat i Gille advokater, hvor han arbeider særlig med personvern, kontrakter og immaterialrett knyttet til teknologi. Gille bistår private og offentlige virksomheter. Bilde: cf@kolonihaven.no Wesenberg
Den eneste måten å unngå dette på, er å slå av stemmegjenkjenning og kameraet, en mulighet de færreste i praksis vil benytte seg av.

I tillegg lagrer Samsung og trolig andre leverandører av smartTVer hva du har sett på, hvilke applikasjoner du har brukt på smartTVen, hva du har likt og søk du har gjort. IP-nr. lagres også. 

I forrige artikkel kunne du også lese om hvordan forsikringsselskapene kan komme til å sitte på enorme mengder helseinformasjon. Informasjon som kan bestemme om du får eller får råd til livs- og uførepensjon.

Privatlivet ditt kan med andre ord skrumpe inn gjennom for eksempel ufrivillig avlytting og mer eller mindre frivillig avlevering av helseinformasjon til forsikringsselskaper. 

Er samtykkets tid forbi?

Personvernreglene i Norge og EU bygger på at personopplysninger bare skal behandles med samtykke eller særlig lovgrunnlag.

Siden samtykke er det mest praktiske grunnlaget, må vi spørre oss hvordan samtykke kan skje i systemer som ofte ikke har grensesnitt. Sitter du foran en pc eller med en smarttelefon vil du kunne si ja eller nei. Samtidig vil du kunne få presentert informasjon, slik at samtykket også blir informert, slik personopplysningsloven (pol.) krever (pol. § 2 nr. 7).

I en smartbil, eller et smarthus, er et informert samtykke ikke like lett å få gitt. Av og til vil situasjonen være at du ikke en gang vet at du avgir personopplysninger.    

Selv om behandling av personopplysninger til rent private formål faller utenfor personopplysningsloven (§ 3), er det bruken i kommersiell sammenheng som skaper utfordringer. Personopplysninger opprinnelig behandlet for privat formål kan nemlig bli benyttet for kommersielle formål på et senere tidspunkt.

Farvel anonymitet

Muligheten til å koble sammen data fra ulike kilder gjør det mulig å reidentifisere data som i utgangspunktet var anonyme. Om en kameraløsning i utgangspunktet ikke medfører at du blir identifisert, kan kombinasjonen med geodata fra din smarttelefon eller pulsklokke kunne fortelle hvor du har vært. Eller din venns smartTV gjenkjenner ansiktet ditt direkte, som beskrevet over. Det vern som anonymitet tidligere medførte, vil dermed gravis bli mindre.

Utviklingen bort fra anonymitet begynte allerede langt tilbake, da myntverkene i Europa begynte å prege landets konger på myntene. Først da ble utseendet til kongen kjent hos folk flest. Fra da av var det vanskeligere for kongene å herje inkognito i byenes mer eller mindre lugubre utesteder. Forskjellen nå er at personer som ikke har valgt å være i offentlighetens lys, i stadig mindre grad kan ferdes anonymt.

Frivilling tvang

Frivilligheten i et eventuelt samtykke kan også bli et problem. Ettersom overvåking stadig blir mer altomfattende, vil det kunne bli problematisk å takke nei. Om du skal på besøk til svigerfar eller et viktig møte, vil det kunne oppleves vanskelig å reservere seg mot å bli fanget opp i et eller annet system.   

Det er mange interessenter i økosystemet til tingenes internett. Produsenten av utstyret, distributøren, den som lagrer dataene, programvareutvikleren, sosiale medier, eieren av utstyrer – og datasubjektet selv. Flere av disse vil ønske å bruke dataene til sine formål. Interessentenes ønsker vil sette personopplysningslovens krav om at personopplysninger bare skal benyttes for det formål de er innhentet for under press (pol. § 11).

Hva om dataene brukes til å fatte utilsiktede beslutninger?  Allerede i dag benytter arbeidsgivere seg av Facebook og andre kilder. I fremtiden vil enda mer data bli tilgjengelig. Banker og forsikringsselskaper kan avslå eller innvilge søknader basert på informasjon du aldri mente skulle benyttes for slike formål. Selv uten automatiserte avgjørelser (pol. § 22), vil slike beslutninger kunne bety mye for den enkelte.

Hvordan skal vi sikre at overskuddsinformasjon blir slettet når mengden av data blir så enorm som den er i ferd med å bli (pol. §§ 11 og 28). Hvordan sikre din og min rett til innsyn i data om oss selv (pol. kap. III)?

Hva med kravet til forholdsmessighet, stilt blant annet i den europeiske menneskerettighetskonvensjonen (art. 8 om rett til privatliv)? Det vil si at ikke mer data enn det som er nødvendig for formålet skal lagres.

Hvordan kan vi sikre oss «tilfredsstillende informasjonssikkerhet» slik loven krever (pol. §13)? I tingens internett vil brukervennlighet ofte stå opp mot sikkerhet.

For eksempel krever det ekstra strøm og prosessorkraft å kryptere den trådløse forbindelsen fra et kamera til den lokale basestasjonen. Av den grunn vil mange leverandører utstyr foretrekke å droppe krypteringen. Resultatet er at enhver kan gis tilgang til lyd og video fra et privat hjem

Det samme gjelder den videre forbindelsen en slik kameraløsning har til lagring eller tilgang på internett. Faren er ikke bare skremselspropaganda.

Ufrivilling og uvitende realitystjerne?

I 2012 ble det avdekket av en blogger at det var fri tilgang til IP-kameraer i flere hundre hjem til eiere av kameraer fra selskapet TrendNet. Tilgangen hadde vært åpen minst fra februar 2010 til februar 2012.

IP-kameraløsinger fra TrendNet lå i flere år åpne for misbruk over internett. Bildene er beviser i klagen fra USAs konkurransetilsyn FTC mot TrendNet. Bilde: Federal Trade Commission
Som følge av en sikkerhetsmangel trengte man bare IP-adressen til det enkelte kamera. Slike IP-adresser ble raskt listet opp på egne websider da muligheten ble oppdaget. Både lyd og bilde ble matet ut til allmenheten.  Av de 700 kameraeneadressene som var offentlige da TrendNet ble oppmerksom på sikkerhetsbruddet, skal flere ha vært plassert på soverom. Noen skal også ha kunnet avsløre finansielle opplysninger.

Som følge av at TrendNet hadde markedsført løsningen sin som sikker, tok mektige Federal Trade Commission i USA opp saken. Utfallet av saken var at TrendNet måtte utbedre manglene, og ble underlagt et strengt kontrollregime i 20 år. Formålet var å unngå at folk skulle bli ufrivillige stjerner i sitt eget live show fra sitt eget hjem.

Tilsvarende problemstillinger som nevnt over vil slå inn for helserelaterte ting. Hvordan vil du for eksempel like om dine hjerterytmemålinger kan overvåkes av din ekskone eller en nabo du ligger i konflikt med?

Hva gjør vi?

Det store spørsmålet er, hva gjør vi med dette? Fordi fordelene i effektivitet og enkelhet hos brukerne og de kommersielle driverne hos leverandørene er så overveldende, kan vi ikke bare slå av tingene. I alle fall ikke alle tingene.  

Kanskje vil det nettopp være i en sårbar situasjon du ikke kan slå tingen av. Som under hjertesykdom, med behov for overvåking av hjerterytmen din. Eller for å skaffe deg en uføreforsikring du har råd til.

Hva med å fortsette dagens regime, med samtykkekrav og oppfølging? Som vist over medfører dagens krav til samtykke praktiske problemer det kan bli vanskelig eller umulig å overkomme.

Daglig oppfølging vil også kunne være så ressurskrevende at det i praksis ikke vil skje. Allerede før tingenes internett gjorde sin debut for alvor, er det vel kjent at de færreste virksomheter overholder alle krav. En god andel virksomheter overholder få krav overhode.

Hva står vi igjen med av muligheter da?

Innebygget personvern

En av de beste er trolig det vi kan kalle «innebygget personvern» (eng. ‘privacy by design’). Tanken er at systemene i seg selv utformes slik at de vil ivareta personvernet i størst mulig grad.

Kanskje har vi kommet til et punkt hvor den enkelte må bytte en del av sitt personvern bort mot de enorme fordelene tingens internett kan tilby? Slik kongen måtte gjøre da han ble preget på myter. Men det er ingen grunn til å bytte bort en større del av personvernet enn nødvendig. Og den informasjonen som kan gis, bør gis.

Rent konkret kunne «innebygget personvern» for eksempel bety at alle data som kan knyttes til enkeltpersoner sendes og oppbevares kryptert. At systemenes standardinnstilling er at data ikke lagres, eller lagres i en begrenset periode før systemet selv sletter dem. De data som ikke er nødvendige for formålet med løsningen samles ikke inn. For en smarthusløsning kan det innebære at kameraet ikke fanger lyd og bilde dersom geolokasjonen på eierens telefonen viser at eieren er hjemme.

Eierne kan selv oppfordres til å bidra til eget personvern gjennom skånsom plassering og bruk av utstyret. For eksempel foregår det normalt mindre følsomme ting i en garderobe enn i ett soverom. Det kan være greit å tenke på når IP-kameraet plasseres. 

Sterk egeninteresse

Hvordan sørger vi så for at vi får et slik innebygget personvern? Vi har flere muligheter. Nye regler kan gis og Datatilsynet kan få oppgaven med å følge opp. Utfordringen med en slik løsning er å treffe godt med reglene, og besørge nok ressurser til håndheving. 

En alternativ vei kan være å spille på den sterke egeninteresse leverandørene av slike systemer har i at systemene oppleves sikre. Dersom potensielle kjøpere opplever at løsningene er for usikre eller kan krenke personvernet (for mye), vil det ramme totalsalget av tingene på internett. Sikre løsninger vil med andre ord øke størrelsen på markedet, og gi et konkurransefortrinn.

Dersom man velger denne mykere linjen, kan man se for seg en sertifiseringsordning. Bare de leverandørene som etterlever visse minimumskrav vil kunne bruke emblemet «Innebygget personvern – garantert» eller tilsvarende. Ordningen kunne f.eks. vært administrert av relevante bransjeorgansisasjoner, i samarbeid med personvernmyndighetene i ulike land.

En slik mykere vei er også anbefalt i en studie bestilt av EU-kommisjonen av 13. mai 2013.

Neste artikkel i denne serien om tingenes internett vil handle om hvem som eier dataene om deg.

kristian@gille.no

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.