7 Rettferdig, etisk og ansvarlig bruk av data
Regjeringen vil legge til rette for en ansvarlig dataøkonomi i Norge, og arbeide for at bruken av data skjer på en rettferdig, etisk og ansvarlig måte. Sikkerheten og personvernet må ivaretas. Forbrukernes rettigheter må sikres, og det må legges til rette for rettferdige konkurranseregler for norske og internasjonale aktører. Samtidig som bedre utnyttelse av data kan bidra til at tjenester blir personaliserte og tilpasset den enkelte, blir arbeidet for å forhindre diskriminering, manipulasjon og misbruk av informasjon særlig viktig. Åpenhet, likebehandling og rettssikkerhet er viktige demokratiske verdier som også må gjelde i dataøkonomien.
7.1 Rettferdig konkurranse i dataøkonomien
Mange av de største aktørene i dataøkonomien baserer seg først og fremst på all informasjonen brukere og kunder legger igjen når de besøker nettsteder, søker etter informasjon, laster ned og, bruker mobilapper, eller handler på nett. Den enkeltes daglige bruk av teknologi genererer store mengder personopplysninger, og aktører med en forretningsmodell som er basert på å foredle, utveksle og bruke slik informasjon, er avhengige av at forbrukerne har tillit til at dette gjøres på en måte som ivaretar deres interesser.
7.1.1 De store teknologiselskapenes dominans
De største teknologiselskapene i verden, målt etter markedsverdi og markedsandeler, leder an i den teknologiske utviklingen og i den datadrevne økonomien. Det er fem store teknologiselskaper i verden som dominerer i dag. Det er Alphabet (moderselskapet til Google), Facebook, Apple, Microsoft og Amazon. I tillegg har det vokst fram store kinesiske teknologiselskaper som også er store aktører på det globale markedet, eksempelvis internettselskapet Alibaba, det sosiale nettverket TikTok, og Huawei, som leverer teknologi og utstyr til telekommunikasjon, mobiltelefoner og lignende. På flere områder er det stor konkurranse mellom aktørene, for eksempel innenfor smarttelefoner, operativsystemer, analyseteknologi og skytjenester. På andre områder dominerer enkeltaktører, som Facebook innenfor sosiale medier.
Konkurransen fra de store internasjonale plattformselskapene rammer først og fremst tjenestenæringene, som bank, finans, forsikring og media, men ingen bransjer er skjermet. De store teknologiselskapenes markedsdominans utfordrer spillereglene og utsetter norsk næringsliv for sterk konkurranse. Konkurranse kan være positivt og føre til høy innovasjonstakt og lave priser, men det forutsetter rettferdig konkurranse på mest mulig like vilkår. Faktorer som utfordrer dette er nettverkseffekter og skattemessige forhold.
Konkurranselovens forbudsbestemmelser er utformet på en måte som skal gjøre dem anvendelige også på nye framvoksende teknologier, industrier og markeder. Likevel er det grunn til å stille spørsmål ved om de særlige konkurranserettslige problemstillingene som kan oppstå i en datadrevet økonomi, i tilstrekkelig grad kan løses ved hjelp av dagens regelverk.1 Det er noe av bakgrunnen for at Europakommisjonen arbeider med å utvikle konkurransereglene slik at de skal kunne fungere effektivt i møte med ny teknologi og nye markeder. I tildelingsbrevet til Konkurransetilsynet for 2021 er det presisert at tilsynet kontinuerlig må vurdere om de har de nødvendige håndhevingsverktøyene i møte med en digital økonomi. I den forbindelse skal Konkurransetilsynet følge opp prosesser i regelverksutviklingen i både EU og OECD.
Nettverkseffekter
Digitalisering i samfunnet forsterker noen konkurransemessige utfordringer. Enkelte markeder karakteriseres av stordriftsfordeler og såkalte nettverkseffekter. Når nytten én bruker har av et produkt eller en tjeneste er knyttet opp mot hvor mange andre brukere som benytter samme produkt eller tjeneste, kalles det for nettverkseffekter. Et godt eksempel er telefoni: Hvem vil ha interesse av å kjøpe verdens eneste telefon? Verdien av telefoni avhenger av hvor mange andre som har telefon. Ved nettverkseffekter vil markedet ofte «ta av» når et visst antall brukere er nådd, og det oppstår da en selvforsterkende etterspørsel som gir et stort antall brukere.
Sosiale medier er et annet eksempel. Det er ikke gøy å være på et sosialt medium der ingen andre er. I 2009 var VGs Nettby Norges mest populære nettsamfunn. I desember 2010 ble Nettby lagt ned, fordi alle brukerne var gått over til andre nettsamfunn – i hovedsak Facebook. Dette illustrerer en annen side ved nettverkseffekter: Dersom kostnaden for brukeren ved å bytte tjeneste er lav, kan det skje at «alle» kundene bytter tjeneste dersom det dukker opp en ny tjeneste som framstår som mer attraktiv. Leverandørene vil derfor søke å legge inn mekanismer som skal gjøre det mindre attraktivt for brukerne å bytte tjeneste, fordi de opplever transaksjonskostnaden som for stor.
I tillegg er det vanskelig for nye markedsaktører å etablere seg i et slikt marked der det allerede finnes én eller flere dominerende aktører. Digitale tjenester har gjerne den egenskapen at når tjenesten er ferdig utviklet og etablert, så er kostnaden ved å betjene én ekstra kunde (grensekostnaden) svært lav, i praksis tilnærmet null. Derfor kan tjenesten skaleres opp med svært lave kostnader. Utfordringen for inntrengere i slike markeder er å skape en kritisk masse av tilbud og brukere. Fordi etableringskostnadene er høye, er kostnaden for hver ny kunde i etableringsfasen svært høy.
Motkraften til nettverkseffektene er konkurransemyndighetene, som vil søke å begrense monopoler og slik sikre at det er konkurranse i markedet. Eksempler på dette er krav fra amerikanske myndigheter, og senere fra Europakommisjonen, om at Microsoft måtte publisere API-er for Windows-plattformen, slik at kontorstøtteprogrammer fra andre leverandører skulle kunne åpne og behandle for eksempel Word-dokumenter. Senere har Forbrukerrådet gått i spissen for å få Apple til å fjerne sperren (også kalt DRM) som gjorde at musikk kjøpt fra Apple, bare kunne spilles av på Apples egne avspillere.
Apple og Google har – gjennom blant annet App Store og Google Play Store – fått kritikk for å utnytte sin markedsmakt ved å gjøre det vanskeligere for konkurrentene og for å favorisere egne produkter. For eksempel har disse selskapene en betalingsmodell som gjør at andre bedrifter må betale en betydelig andel av sin omsetning ved distribusjon på Apples og Googles plattformer. Dette medfører høyere distribusjonskostnader for Apples og Googles konkurrenter, samtidig som det er få andre alternativer å bruke for å nå ut til forbrukerne.
7.1.2 Digital Services Act og Digital Markets Act
Europakommisjonen har de senere årene hatt oppmerksomhet på den digitale plattformøkonomien og plattformselskaper som Facebook, Amazon og Google. I desember 2020 presenterte Europakommisjonen Digital Services Act og Digital Markets Act. Disse skal oppfylle to hovedmål: Å skape et trygt digitalt område der rettighetene til alle brukere av digitale tjenester er beskyttet, og å sikre like vilkår for å fremme innovasjon, vekst og konkurranse både i EU/EØS og globalt.
Digital Services Act (DSA) kan ses på som en revisjon av e-handelsdirektivet. Siden e-handelsdirektivet kom i 2000, har det digitale landskapet endret seg vesentlig gjennom framveksten av nye digitale plattformer. DSA skal bedre muligheten til å fjerne ulovlig innhold på nett og bedre beskytte brukeres grunnleggende rettigheter, inkludert ytringsfrihet. DSA skal gi bedre offentlig tilsyn med digitale plattformer, særlig med plattformer som når mer enn ti prosent av EUs innbyggere.
Konkret betyr dette økte muligheter til å flagge og spore formidlere av ulovlige varer, tjenester eller innhold på nett; økt beskyttelse for brukere; algoritmetransparens – for eksempel i tjenester som kommer med anbefalinger; større ansvar for de store plattformene i å hindre misbruk av egne tjenester gjennom risikohåndtering og internkontroll; tilgang for forskere til nøkkeldata fra de store plattformene, slik at de kan vurdere utviklingen i risiko på nett; og en tilsynsstruktur som kan håndtere kompleksiteten på nett.
Målet med Digital Markets Act (DMA) er å regulere og begrense markedsmakten til enkelte store plattformaktører som i stor grad kontrollerer onlinemarkedet. Dette er i praksis selskapene som går under betegnelsen GAFA(M), det vil si Google, Amazon, Facebook, Apple og Microsoft. Dette initiativet innebærer en forhåndsregulering (såkalt ex-ante-regulering) av store plattformaktører. Det vil si at aktørene pålegges forpliktelser og krav uten at det i forkant er påvist adferd som er skadelig for konkurransen. Det er også ventet at Europakommisjonen vil foreslå en ny «competition toolbox» – det vil si nye verktøy som kan brukes fra sak til sak der det foreligger konkurranseproblemer. Dette skal også kunne omfatte vurderinger for å identifisere markedssvikt i digitale markeder.
Norge støtter EUs initiativ om å utarbeide et nytt regulatorisk rammeverk for digitale plattformer. I det norske innspillet til EU i forbindelse med høringen av DSA og DMA, understrekes viktigheten av at nye regler ikke må føre til uforholdsmessige regulatoriske byrder for små og mellomstore bedrifter. Samtidig påpekes viktigheten av at relevante sikkerhetshensyn og hensyn til kriminalbekjempelse blir ivaretatt. Det er også Norges posisjon at det ikke bør innføres plikter for digitale plattformer som kan føre til at innhold fra redigerte medier blir sensurert slik at ytringsfriheten blir skadelidende. Norge anbefaler dessuten en sterkere beskyttelse av forbrukerrettigheter på digitale plattformer, og framhever behovet for universell utforming.
7.1.3 Skattlegging av multinasjonale selskaper
Et annet aspekt som har betydning for konkurransesituasjonen, er beskatning. Dersom multinasjonale selskaper kan oppnå et lavere skattenivå enn nasjonale selskaper ved å utnytte svakheter i nasjonalt og internasjonalt regelverk, medfører det en negativ konkurransesituasjon for nasjonale aktører. Kombinasjonen av globalisering og digitalisering har gitt oss forretningsmodeller som utfordrer nasjonalt og internasjonalt skatteregelverk. Dette påvirker både multinasjonale selskapers mulighet til å redusere beskatningen gjennom skatteplanlegging og fordelingen av skatteinntekter mellom land.
I perioden 2013 til 2015 gjennomførte OECD og G20-landene et felles prosjekt, Base Erosion of Profit Shifting – BEPS-prosjektet. Bakgrunnen var at multinasjonale foretak gjennom skatteplanlegging kan utnytte svakheter i nasjonalt og internasjonalt regelverk, blant annet til å flytte skattbart overskudd fra konsernselskaper i land med høy skattesats til konsernselskaper i land med lav eller ingen beskatning. Overskuddsflytting kan over tid gjøre det vanskelig å opprettholde skatteinntekter og medføre en negativ konkurransesituasjon for nasjonale aktører. Denne typen aktivitet er kjent fra flere næringer og er ikke utelukkende knyttet til digitalisering. Gjennom BEPS-prosjektet ble det oppnådd enighet om en rekke tiltak mot overskuddsflytting og uthuling av skattegrunnlag.
Digitaliseringen av økonomien forsterker utfordringene med beskatning av multinasjonale foretak og reiser bredere utfordringer enn overskuddsflytting.2 Etter gjeldende internasjonale skatteregler er fysisk tilstedeværelse sentralt for å kunne skattlegge utenlandske foretak som har aktivitet i flere land, men digitalisering og nye forretningsmønstre har i økende grad gjort det mulig for multinasjonale foretak å være til stede i et marked uten fysisk tilstedeværelse. Dette legger press på de internasjonale reglene om hvilke land som skal kunne skattlegge slike foretaks inntekter.
I OECD/G20s Inclusive Framework, et samarbeidsorgan som teller nesten 140 land, og hvor Norge deltar, arbeides det nå med å få fram en global felles løsning for mer effektiv og rettferdig skattlegging i en stadig mer digitalisert økonomi. Inclusive Framework arbeider med en løsning basert på to pilarer:
Pilar 1: Fordeling av beskatningsrett til selskapsoverskudd mellom land
Målet er å sikre staten der selskapet markedsfører og selger sine tjenester (markedsstaten) rett til å beskatte en andel av store multinasjonale foretaks virksomhetsinntekter i tilfeller der foretaket har en betydelig og vedvarende økonomisk tilstedeværelse i markedsstaten. Dette skal bidra til å bringe de internasjonale reglene for fordeling av beskatningsrett mellom land i takt med utviklingen i hvordan multinasjonale foretak driver sin virksomhet. Det vil si at reglene tar høyde for at slike foretak kan ha en betydelig og vedvarende økonomisk tilstedeværelse i et marked tilsvarende fysisk tilknytning. En slik beskatningsrett er ment basert på et konstruert skattegrunnlag som er uavhengig av gjeldende regler for inntektsallokering mellom stater, og beregnet med utgangspunkt i konsolidert regnskapsmessig overskudd på konsernnivå.
Pilar 2: Overskuddsflytting og uthuling av skattegrunnlaget
Dette er en videreføring av BEPS-prosjektet. Siktemålet er her å sikre et minstenivå for beskatning av store multinasjonale selskaper for å svekke insentivene til overskuddsflytting og uthuling av skattegrunnlaget. Det er også et mål å motvirke skadelig skattekonkurranse mellom land og et «race to the bottom» hva angår selskapsskatt.
Inclusive Framework godkjente i oktober 2020 to rapporter med skisse til utforming av reglene til de to pilarene, og sendte disse på høring.34 Det er fortsatt uenighet om viktige elementer i forslagene knyttet til de to pilarene, og det er behov for mer teknisk arbeid, men planen er å oppnå enighet innen midten av 2021.
Enkelte europeiske land har tatt til orde for at EU burde få på plass et felles europeisk forslag til hvordan digitale tjenester kan skattlegges på en mer rettferdig måte. Finansministrene i G20 har imidlertid, i en felles uttalelse 14. oktober 2020, gitt uttrykk for fortsatt støtte til prosessen i Inclusive Framework. De står samlet bak oppfordringen om å fortsette arbeidet for enighet om en global felles løsning innen midten av 2021. Regjeringen vil holde Stortinget orientert om utviklingen i og resultatet av forhandlingsprosessen, og fremme de forslag til endring i lover og internasjonale avtaler som er nødvendig ved en eventuell gjennomføring av tiltakene.
7.2 Etisk og ansvarlig bruk av data
Bruk av data kan bidra til at tjenester blir mer personaliserte og tilpasset den enkelte. Mange vil oppleve dette som en positiv utvikling. Samtidig har dataøkonomien også skyggesider, i form av ekkokamre, manipulasjon av informasjon og misbruk av personopplysninger. Regjeringen ønsker å fremme en kultur der næringslivsaktører ser verdien i å utvikle etisk forsvarlige løsninger, produkter og tjenester.
7.2.1 Risiko for manipulasjon, ekkokamre og usaklig forskjellsbehandling
Dataanalyse kan avsløre om folk er impulsive eller forsiktige, om de liker å være først ute med de nyeste tingene, eller om de reagerer best på å høre at en vare nesten er utsolgt.5 Kjennskap til individers personlighetstrekk gjør det mulig å tilpasse annonseringen rettet mot den enkelte person eller forbrukergruppe slik at den oppleves relevant og nyttig, men annonsører kan også utnytte forbrukernes sårbarhet ved å personalisere annonsering til tidspunkter der sannsynligheten for mottakelighet er størst. Slik markedsføring utfordrer ikke bare person- og forbrukervernet, men reiser også større etiske spørsmål knyttet til individets selvbestemmelsesrett.
Risiko for manipulasjon, basert på kombinasjonen av analyseteknologi og adferdspsykologi, er ikke begrenset til annonsemarkedet. Analyse av personopplysninger har også blitt brukt til å manipulere enkeltindivider til å innta en bestemt politisk oppfatning. Cambridge Analyticas bruk av personopplysninger i ulike valgkampanjer, innsamlet via Facebook, er et eksempel på dette. Uten brukernes samtykke eller kunnskap ble det utarbeidet analyser og profiler for å målrette politiske budskap tilpasset den enkelte. Saken viser at opplysninger som er innhentet til ett formål, kan bli utnyttet på nye uforutsigbare måter. Bruk av personopplysninger til å påvirke demokratiske valg visker ut skillet mellom person- og forbrukervern og grunnleggende borgerrettigheter, og kan utgjøre en trussel mot demokratiet.6
Forretningsmodeller som bygger på persontilpassede digitale tjenester, kan også påvirke rammebetingelsene for meningsbryting. Ved at individer i uforholdsmessig stor grad eksponeres for meninger som samsvarer med deres egne, skapes digitale ekkokamre. Dette har dannet grobunn for fenomener som «falske nyheter» og «alternative fakta». Over tid kan dette svekke tilliten til etablerte medier. Ekkokamre kan også legge en demper på åpen meningsbrytning, som er en viktig forutsetning for et fritt, demokratisk samfunn.
Risiko for diskriminering og feilaktige slutninger
Bruk av profilering basert på algoritmer og kunstig intelligens kan gi bedre og mer personaliserte tjenester, men det kan også øke risikoen for ulovlig forskjellsbehandling. Når tjenester i større grad individualiseres, står forbrukere i fare for å bli utsatt for prisdiskriminering. Algoritmebaserte annonseringssystemer kan også innrettes på måter som gjør at for eksempel boligutleie- og jobbannonser bare vises for visse persongrupper, slik at andre reelt sett ekskluderes og potensielt utsettes for diskriminering.
Aktører som behandler personopplysninger har plikt til å sikre at opplysningene er korrekte. Når analyser baseres på data innsamlet fra flere kilder, vil dette være særlig utfordrende. I mange sammenhenger kan et feilaktig faktagrunnlag få negative konsekvenser for individer. Dersom det er feil i datasettene som inngår i analysen, kan dette føre til uriktige beslutninger. Selv der dataene isolert sett er korrekte, kan de gi et urettferdig og diskriminerende resultat, eksempelvis fordi algoritmen inneholder historiske skjevheter.
7.2.2 Innebygget etikk og etisk risikovurdering
Krav til risikovurderinger og innebygget personvern er nedfelt i personvernforordningen. Innebygget personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Ved deling og bruk av data til nye formål bør en på samme måte tenke innebygget etikk og foreta etiske risikovurderinger. Kunstig intelligens er en sentral del av dataøkonomien. Ved bruk av kunstig intelligens er det for eksempel viktig å vurdere om algoritmen kan føre til diskriminering, for så å iverksette tiltak for å redusere risikoen. Etiske vurderinger vil også kunne omfatte konsekvenser for miljø og hvorvidt løsningen bidrar til oppfyllelse av FNs bærekraftsmål.
I Nasjonal strategi for kunstig intelligens (2020) fremmer regjeringen syv prinsipper for ansvarlig utvikling og bruk av kunstig intelligens:
Løsninger basert på kunstig intelligens skal respektere menneskets selvbestemmelse og kontroll.
Systemer basert på kunstig intelligens skal være sikre og teknisk robuste.
Kunstig intelligens skal ta hensyn til personvernet.
Beslutninger tatt av systemer basert på kunstig intelligens, skal være sporbare, forklarbare og gjennomsiktige.
Systemene skal legge til rette for inkludering, mangfold og likebehandling.
Kunstig intelligens skal utvikles med hensyn til samfunnet og miljøet og skal ikke ha negativ innvirkning på institusjoner, demokratiet og samfunnet som helhet.
Det skal innføres mekanismer som sikrer ansvarlighet for løsninger basert på kunstig intelligens og deres resultater, både før og etter implementering av løsningene.
7.3 Personvernutfordringer i dataøkonomien
Personopplysninger er en viktig ressurs, og riktig bruk kan gi gevinster både for den enkelte og samfunnet som helhet. Samtidig er personvern en menneskerettighet, vernet av Den europeiske menneskerettighetskonvensjonen og Grunnloven. Det er viktig at bruk av personopplysninger skjer innenfor rammene av lovverket og det som er etisk forsvarlig. Dette er også en forutsetning for å skape tillit, slik at den enkelte vil være villig til å dele opplysninger om seg selv.
Overlapp mellom personvern- og forbrukerutfordringer i dataøkonomien
Det er stort overlapp mellom personvern- og forbrukerutfordringer i dataøkonomien. Personvernet utfordres av datadrevne forretningsmodeller, der forbrukere tilbys tjenester og produkter, og «betaling» skjer ved at forbrukeren gir fra seg personopplysninger. Ofte er det ikke tydelig for forbrukerne hva opplysningene brukes til. Uten denne kunnskapen er ikke forbrukere reelt i stand til å påvirke bruken av egne opplysninger eller innta rollen som kritiske forbrukere i dataøkonomien.
Det er mulig å sikre forbrukernes interesser samtidig som næringslivet kan skape verdier av ny teknologi og data. Regjeringen ser behovet for å styrke stillingen til forbrukerne og å legge til rette for en bedre balanse mellom næringsdrivende og forbrukere i den digitale økonomien.
EU vedtok i 2019 et direktiv som skal modernisere forbrukerrettighetene i lys av den digitale utviklingen – det såkalte moderniseringsdirektivet.7 I det nye direktivet pålegges leverandører av digitale tjenester, søkemotorer og nettbaserte markedsplasser en økt informasjonsplikt. Direktivet styrker forbrukernes rettigheter i avtaler der forbrukerens ytelse er personopplysninger, og stiller strengere krav til sanksjoner. Et lovbrudd som rammer forbrukere i flere medlemsland, vil kunne medføre et maksimumsgebyr på minst fire prosent av den næringsdrivendes årsomsetning i de berørte medlemslandene. Barne- og familiedepartementet jobber nå med gjennomføringen av direktivet i norsk rett.
EU har også vedtatt et direktiv med formål om å harmonisere reglene om levering av digitale ytelser til forbrukere.8 Direktivet gjelder ikke bare der vederlaget er penger, men også der forbrukeren oppgir personopplysninger, med mindre opplysningene utelukkende behandles for å kunne levere den digitale ytelsen eller overholde lovpålagte plikter. I desember 2020 sendte Justis- og beredskapsdepartementet på høring et forslag til lov om levering av digitale ytelser til forbrukere (digitalytelsesloven). Loven vil gjennomføre direktivet i norsk rett, samt regulere andre praktiske spørsmål som ikke omfattes av direktivets harmoniserte virkeområde.
Regjeringen skal legge fram en nasjonal strategi for en trygg digital oppvekst. Målet med strategien er å utvikle en helhetlig politikk for barns digitale hverdag. Strategien skal både omtale de positive sider og risikoer ved barns internettbruk. Viktige temaer vil blant annet være forbrukerrettigheter, personvern, konkurranse og IKT-sikkerhet i digitale tjenester, digital markedsføring, barns trygghet på nett, digital kompetanse og netthandel. Medietilsynet får et ansvar for å samordne konkret publikumsinnsats og tiltak.
7.3.1 Kompliserte samtykke- og personvernerklæringer
I dataøkonomien deles og brukes personopplysninger ofte til andre formål enn det de opprinnelig var samlet inn for. Slik behandling kan utfordre personvernprinsippet om formålsbegrensning: at personopplysninger bare skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål. Videre følger det av prinsippet at personopplysninger ikke kan brukes til nye formål som er uforenlig med innsamlingsformålet, med mindre den nye bruken har grunnlag i samtykke eller er regulert i lov.910
Det at den enkelte samtykker til behandling av personopplysninger, kan åpne for utvikling av innovative produkter og tjenester og gi bedre persontilpasning av digitale løsninger. Et samtykke skal være frivillig, spesifikt, informert, og utvetydig gitt gjennom en aktiv handling.11 Kravene skal sikre at den enkelte får god informasjon om hvordan opplysningene vil bli brukt, og kan utøve kontroll over bruken av egne opplysninger. I praksis kan det likevel være vanskelig å sette seg inn i vilkårene som settes for bruk av apper og digitale tjenester, og derfor er det krevende for den enkelte å ha reell kontroll og innflytelse over hvilke personopplysninger som samles inn, og hva de brukes til. Ifølge personvernforordningen skal personvernvilkår være tydelig adskilt fra andre brukervilkår, og informasjonen skal gis på et klart, enkelt og forståelig språk. I praksis er erklæringene likevel ofte lange, kompliserte og detaljerte og fulle av juridiske og tekniske begreper som er svært krevende for den enkelte å forstå.
Selskapene som samler inn data vil som oftest ha en mye mer inngående forståelse for datainnsamlingen og hvordan opplysningene blir brukt, enn den enkelte forbruker har. Dette kalles informasjonsasymmetri. Aktører som bruker avanserte former for datainnsamling og profilering vil kunne oppnå et konkurransefortrinn. Manglende kunnskap gjør at forbrukere ofte ikke har en reell mulighet til å vurdere personvernet i produkter eller tjenester og velge bort aktører som bruker inngripende metoder. Slik informasjonsasymmetri kan hindre utvikling av balanserte løsninger og forhindre at personvernvennlige løsninger blir et konkurransefortrinn.
Kjøp og salg av personopplysninger på det digitale annonsemarkedet
Kjøp og salg av personopplysninger på det digitale annonsemarkedet, kombinert med ny teknologi som gir mulighet til å analysere store datamengder, har endret måten annonsører når ut til forbrukere på. Persontilpasset markedsføring har betydelig større slagkraft og treffsikkerhet enn tradisjonell markedsføring. Selv om personrettet reklame ofte er til fordel for forbrukeren, kan informasjonen også brukes til å manipulere individer til å kjøpe produkter de ellers ikke ville kjøpt. Data brukes til å analysere seg fram til folks sårbarheter og personlighetstrekk.
I januar 2020 la Forbrukerrådet fram rapporten Out of control. Den beskriver hvordan store mengder personopplysninger, samlet inn via ulike apper, videreselges. Det skapes en digital tvilling av hver forbruker som gjør det mulig å følge den enkelte på tvers av tjenester og plattformer. Informasjonen gir de kommersielle aktørene et detaljert bilde av forbrukerens preferanser, som kjøp, helse og lignende. Slike digitale tvillinger selges på digitale annonsebørser der de som annonserer legger inn bud som reflekterer hva de er villige til å betale for å få sin reklame eksponert for kunder med en gitt profil. Hva slags profiler som er attraktive, avhenger av hva som selges. Videresalget av personopplysninger er ofte regulert i lange og kompliserte brukervilkår. For å kunne forstå hva det gis samtykke til, må den enkelte i mange tilfeller lese og forstå vilkår ikke bare fra den parten det inngås avtale med, men også fra tredjepartsleverandørene. For en vanlig forbruker vil det derfor være tilnærmet umulig å få oversikt over hvem som mottar opplysningene, og hvordan disse blir brukt.
Boks 7.1 Personvernkommisjonen
Regjeringen vil oppmuntre til samfunnsdebatt om hvordan Norge skal sikre en god balanse mellom teknologisk innovasjon i næringslivet og retten til personvern og etisk bruk av data. Regjeringen oppnevnte sommeren 2020 en personvernkommisjon som blant annet skal vurdere personvernets stilling i Norge. Personvernkommisjonen vil kunne bidra til en bred samfunnsdebatt og til å øke bevisstheten rundt personvernutfordringer i dataøkonomien.
Kommisjonen har et omfattende mandat, og skal blant annet
kartlegge situasjonen for personvern i Norge og trekke fram de viktigste utfordringene og utviklingstrekkene
kartlegge forbrukeres reelle muligheter til å ivareta eget personvern ved bruk av digitale løsninger og tjenester, og vurdere om bransje-/adferdsnormer, merkeordninger og sertifiseringsmekanismer kan brukes bedre
utrede hvilke konsekvenser bruk av sosiale medier har for innsamling, analyse og viderebruk av personopplysninger, og foreslå tiltak for å sikre personvernet, herunder den enkelte borgers mulighet for å ivareta eget personvern
foreslå tiltak som styrker den digitale forbrukerkompetansen til barn og unge, spesielt knyttet til digital innsamling av personopplysninger og markedsføring i sosiale medier
Kommisjonen skal levere sin rapport innen 1. juni 2022.
7.3.2 Råderett over egne personopplysninger
En grunnleggende personverntanke er at den enkelte skal ha størst mulig råderett over egne opplysninger. Fordi reell råderett forutsetter at den enkelte har kunnskap om hvordan egne opplysninger blir eller vil bli brukt, plikter de som behandler personopplysninger å gi forståelig informasjon om og innsyn i bruken.
Retten til å få utlevert egne data (dataportabilitet)
En måte den enkelte kan ta kontroll over egne data på, er gjennom å kreve å få disse utlevert fra en tjenesteleverandør. Dette er retten til dataportabilitet. Denne retten gjelder der den enkelte har gitt fra seg personopplysninger på grunnlag av samtykke eller avtale – typisk i kraft av å være forbruker. Dataportabilitet innebærer at den enkelte kan få utlevert opplysninger om seg selv i et alminnelig brukt og maskinlesbart format. Hensikten er at brukeren skal kunne gjenbruke dataene på tvers av ulike systemer og tjenester.
Denne rettigheten styrker ikke bare personvernet, men også forbrukermakten. Når forbrukerne kan ta med seg opplysningene sine til den leverandøren som tilbyr de beste vilkårene, kan dette oppmuntre til konkurranse om personvernvennlige og sikre løsninger.
Europakommisjonen har gjennomført en evaluering av personvernforordningen.12 Denne viser at det fulle potensialet som ligger i retten til dataportabilitet ikke utnyttes i dag. Én årsak er mangel på standarder for overføring av data i maskinlesbart format. Kommisjonen har varslet at den vil utforske praktiske måter for å tilrettelegge for økt bruk av dataportabilitet. Verktøy for administrasjon av brukersamtykke, standardiserte formater og grensesnitt kan bidra til å løse denne utfordringen.
Innsyn styrker råderetten over egne personopplysninger
I Sverige er det satt i gang en utredning som skal se på hvordan de bedre kan tilrettelegge for at borgere gis innsyn i og kontroll over egne opplysninger fra flere offentlige, og om mulig private, behandlingsansvarlige i en felles løsning. Utredningen skal være ferdig innen 1. juni 2021. Regjeringen vil utrede muligheten for å etablere en lignende løsning i Norge. Siktemålet er å vurdere en mulig løsning der borgere kan få innsyn i egne opplysninger i flere offentlige systemer via én felles innlogging. Muligheten for å integrere utvalgte private aktører i en slik løsning vil også bli vurdert. En slik løsning vil kunne gjøre det lettere for den enkelte å få en mer samlet oversikt over hvordan egne personopplysninger blir brukt, samt gjøre det enklere å eventuelt administrere bruken, herunder samtykke til deling. Utredningen vil støtte opp under regjeringens målsetting i Granavolden-plattformen om at den enkelte skal ha størst mulig råderett over egne personopplysninger.
7.3.3 Kunnskap gjennom veiledning om personvernreglene
Personvernforordningen er et viktig instrument for å fremme datadeling på en trygg og ansvarlig måte og for å skape tillit. Næringslivsaktører melder om at bedrifter må bruke mye ressurser til å forstå og tolke bestemmelsene i personvernforordningen.13 Opplevelsen av et komplisert regelverk, og frykt for å gjøre feil og bryte reglene, kan derfor bli et unødvendig hinder for bedrifter som ønsker å prøve ut nye ideer gjennom datadrevet innovasjon.
Regjeringen ser behovet for å heve kunnskapen om personvernreglene hos både næringslivsaktører, i offentlig sektor og i befolkningen generelt. God kunnskap om regelverket er en forutsetning for at de som behandler personopplysninger skal ivareta sine plikter, og for at den enkelte skal kunne utøve sine rettigheter.
Datatilsynet og Forbrukertilsynet driver veiledningsvirksomhet, både overfor enkeltindivider, næringsdrivende og offentlige organer. Tilsynene besvarer for eksempel konkrete henvendelser, utarbeider veiledningsmateriell og holder foredrag. I 2020 publiserte Datatilsynet og Forbrukertilsynet veilederen Digitale tjenester og forbrukeres personopplysninger for utviklere, markedsførere og tilbydere av digitale tjenester. Veilederen er en del av tilsynsorganenes arbeid med å bygge kunnskap og veilede næringsdrivende om praktiske situasjoner hvor forbruker- og personvern overlapper.
Regjeringen er opptatt av at handlingsrommet i personvernforordningen benyttes på en god måte, slik at det ikke virker unødvendig hemmende for innovasjon. God regelverksforståelse er en forutsetning for å kunne lage innovative og balanserte løsninger som ivaretar personvernet. Regjeringen ønsker å bidra til at slike løsninger utvikles. Et viktig tiltak i Nasjonal strategi for kunstig intelligens var derfor å etablere en regulatorisk sandkasse for personvern og kunstig intelligens. I 2020 fikk Datatilsynet tre millioner kroner for gjennomføringen av et forprosjekt. Sandkassen, som finansieres med øremerkede midler, skal deretter være i drift i minimum to år fra 2021.
Den overordnede målsettingen med den regulatoriske sandkassen er å stimulere til innovasjon av etisk og ansvarlig kunstig intelligens. I sandkassen vil Datatilsynet tilby gratis og profesjonell veiledning til utvalgte prosjekter. Prosjektene som tas opp i sandkassen skal være innovative, noe som innebærer at det vil kunne være usikkerhet rundt hvordan personvernregelverket skal etterleves. Sammen vil virksomhetene og Datatilsynet kunne identifisere utfordringer og uklarheter i regelverket og komme fram til gode og balanserte løsninger der personvernet ivaretas. Den regulatoriske sandkassen vil oppfylle flere formål:
Virksomhetene vil kunne få økt forståelse for de regulatoriske kravene som stilles på personvernområdet, og dermed korte ned tiden fra utvikling og testing til faktisk utrulling av KI-løsninger i markedet.
Løsninger som settes i drift etter å ha blitt utviklet i sandkassen vil kunne fungere som foregangseksempler og være til hjelp for andre virksomheter som ønsker å utvikle tilsvarende løsninger.
Datatilsynet vil kunne få økt forståelse av nye teknologiske løsninger og enklere identifisere potensielle risikoer og problemstillinger på et tidlig stadium, slik at det eventuelt kan utarbeides veiledningsmateriale og avklares hvordan regelverket skal brukes.
Datatilsynet og bransjene kan identifisere sektorer hvor det er behov for egne bransjenormer.
Enkeltindividet og samfunnet som helhet vil tjene på at utvikling av nye og innovative løsninger foregår innenfor ansvarlige rammer.
7.3.4 Bruk av anonyme, avidentifiserte og syntetiske data
Det er mulig å utnytte potensialet som ligger i personopplysninger uten at det må gå på bekostning av personvernet. Bruk av anonymiserte eller avidentifiserte opplysninger er metoder for dette. Statistisk sentralbyrås plattformtjeneste microdata.no er et eksempel på dette.
Bruk av anonyme opplysninger gir store muligheter for utvikling av innovative tjenester og produkter. Anonyme opplysninger er ikke personopplysninger, fordi opplysningene ikke kan knyttes til en enkeltperson. Anonymisering innebærer at det ikke er mulig å gjenfinne koblingen mellom informasjon og enkeltindivid, når det tas i betraktning alle hjelpemidler som med rimelighet kan tenkes brukt for å identifisere vedkommende. Derfor kan anonyme opplysninger deles og brukes til nye formål. Fordi det ikke er snakk om opplysninger om identifiserbare personer, gjelder ikke personvernregelverket.
Avklaring av om datasett inneholder personopplysninger, og selve anonymiseringsprosessen, kan være ressurskrevende. Samtidig kan gevinsten av å anonymisere være så stor at den veier opp for kostnadene.
Er anonymisering for ressurskrevende eller ikke formålstjenlig, kan avidentifisering være et alternativ. Avidentifisering innebærer at alle direkte personentydige kjennetegn fjernes. Dette kan være nyttig og nødvendig for å ivareta personvernet, men betyr ikke at opplysningene er gjort anonyme. Bruk av avidentifiserte opplysninger må derfor alltid skje i tråd med personvernregelverket. Pseudonymisering er en form for avidentifisering og innebærer at direkte identifiserende parametere (for eksempel navn) byttes ut med pseudonymer – for eksempel et løpenummer. Opplysningene skal ikke kunne knyttes tilbake en bestemt person uten bruk av tilleggsopplysninger.
Risiko for re-identifisering
Re-identifisering skjer når individer blir identifisert på grunnlag av avidentifiserte eller tilsynelatende anonyme opplysninger, oftest som følge av sammenstilling av data fra flere kilder. Omfattende tilgang til data, kombinert med bedre og billigere analyseteknologi, har økt risikoen for slik re-identifisering. Risikoen kan reduseres ved at kun anonyme data inngår i analysen. Det er imidlertid ikke alltid lett å vurdere om et datasett er anonymisert eller kun avidentifisert. Det kan også være vanskelig å vurdere om sammenkobling med andre datasett som er tilgjengelige i dag eller i framtiden, vil kunne føre til re-identifisering.
For å ivareta tilliten og sikkerheten, er det viktig at risikoen for re-identifisering minimeres. Virksomheter må foreta grundige risikovurderinger ved anonymisering av personopplysninger og ved sammenstilling med andre datasett. Blir opplysningene identifiserbare, må behandlingen skje i tråd med personvernforordningens krav.
Boks 7.2 NRK-saken «Avslørt av mobilen»
Noen datatyper er mer utfordrende å anonymisere enn andre, som lokasjonsdata. Et individs bevegelsesmønster er ofte så unikt at det avslører mye. Våren 2020 publiserte NRK flere saker om kjøp og salg av posisjonsdata, innhentet fra gratisapper. For 35 000 kroner kjøpte NRK angivelig anonymiserte posisjonsdata fra det britiske selskapet Tamoco, fra over 140 000 unike mobiler og nettbrett tilhørende nordmenn. Alle koordinatene var tilknyttet en dato, et klokkeslett og en bestemt enhet, og viste nøyaktig hvor en enhet hadde vært på et bestemt tidspunkt. Ved hjelp av enkle metoder identifiserte NRK flere personer og kartla deres bevegelser over tid. Posisjonsdataene røpte blant annet hvor de bodde og jobbet, samt informasjon om opphold på sykehus og krisesentre. Blant annet identifiserte NRK en stortingspolitiker og sentrale ansatte i Forsvaret.
Kilde: Furuly, Trude et. al. (2020): Avslørt av mobilen. Publisert på nrk.no 9. mai 2020
Syntetiske data
Et alternativ til å benytte avidentifiserte eller anonymiserte opplysninger er å bruke syntetiske data. Syntetiske data genereres av en maskinlæringsmodell som er trent opp på personopplysninger. Det syntetiske datasettet har de samme egenskapene som et reelt datasett. Fordi dataene ikke omhandler reelle personer, dreier det seg ikke om personopplysninger. Syntetiske data har mange bruksområder og brukes ofte som testdata i systemutviklingsprosjekter der alternativet ville vært å teste systemet med «ekte» data. Slike datasett kan også gjøres allment tilgjengelig til bruk i for eksempel forskning og utvikling, siden de ikke inneholder personopplysninger.
Boks 7.3 Generering av syntetiske testdata til folkeregisteret
Skatteetaten har etablert en løsning der maskinlæring brukes til å generere rike syntetiske testdata i et testmiljø for Folkeregisteret. Det syntetiske Folkeregisteret tilbyr syntetiske testpersoner i tillegg til å simulere hendelser. Målet er at virksomheter som bruker informasjon fra registeret, kan teste sine integrasjoner uten at reelle personopplysninger inngår i testen. Dette gjelder blant annet selskaper som utvikler programvare for offentlig sektor.
De syntetiske dataene er tilgjengelige for alle som skal teste integrasjon mot Folkeregisteret, eller trenger folkeregisterdata i test.
Kilde: Skatteetaten.
7.3.5 Personvern som konkurransefortrinn
Datatilsynet gjennomfører med jevne mellomrom en større undersøkelse om status for personvernet i Norge. Personvernundersøkelsen for 2019/2020 viser en skepsis blant respondentene mot datadrevne forretningsmodeller. Cirka halvparten av de som har svart, sier de er utrygge på om smarthusteknologi ivaretar personvernet. Tre av fire er negative til at personopplysninger brukes for å persontilpasse annonser.14
En konsekvens av omfattende kommersiell bruk av personopplysninger kan være at tilliten til næringslivsaktører reduseres, og at flere avstår fra å kjøpe digitale tjenester og produkter. Datatilsynets undersøkelse viser at over 50 prosent har avstått fra å bruke en tjeneste fordi de er usikre på hvordan personopplysningene blir håndtert.
På den annen side kan tilliten til næringslivsaktører styrkes dersom forbrukere har tiltro til at personvern og informasjonssikkerhet ivaretas, og at dataene behandles innenfor ansvarlige rammer. Slik kan tillit og personvern være et konkurransefortrinn for selskaper som greier å vise at de behandler data på en lovlig, ansvarlig og etisk måte.
Adferdsnormer for behandling av personopplysninger
Det er en utfordring at personvernforordningen er skjønnspreget, mens mange virksomheter, særlig små og mellomstore bedrifter, har behov for konkrete og bransjespesifikke retningslinjer. Adferdsnormer (også kalt bransjenormer) er ment å bøte på dette, slik at virksomheter kan finne klare svar på praktiske spørsmål. Personvernforordningen legger opp til at bransjene selv utarbeider adferdsnormer for behandling av personopplysninger og får disse godkjent – enten av Datatilsynet dersom det er en nasjonal norm, eller på europeisk nivå. Normene trenger ikke være altomfattende, men kan være tematisk avgrenset.
Regjeringen mener det er bra at bransjene utarbeider adferdsnormer for behandling av personopplysninger. Når bransjeaktører enes om å benytte samme personvernstandarder, kan dette bidra til å utjevne konkurranseskjevheter. Samtidig vil etablering og bruk av adferdsnormer føre til økt åpenhet og styrking av personvernet i den aktuelle bransjen. At aktørene viser at de følger en norm godkjent av Datatilsynet, vil også gjøre det tryggere for forbrukere å velge produkter og tjenester som ivaretar personvernet.
Sertifiseringsordning for personvern
Etter personvernforordningen kan produkter og tjenester bli sertifisert etter nærmere fastsatte kriterier og få tildelt et personvernsegl eller -merke. Et personvernmerke vil blant annet gjøre det enklere for forbrukere å vurdere om personvernet blir ivaretatt, og om tilbyderen er til å stole på. Dette styrker forbrukermakten og kan bidra til å gjøre ivaretakelse av personvern til et konkurransefortrinn. Sertifiseringen skjer enten nasjonalt eller innenfor EØS. Sistnevnte kan resultere i et felleseuropeisk personvernsegl. Datatilsynet arbeider med å opprette en mekanisme for sertifisering i Norge. Tilsynet antar at en nasjonal sertifiseringsordning vil komme på plass tidligst i løpet av 2021.
7.3.6 Håndheving og det felleseuropeiske personvernsamarbeidet
Personvernforordningen tar sikte på regelverksharmonisering i EØS-området. Borgerne i alle medlemslandene skal sikres det samme sterke personvernet, samtidig som virksomhetene må forholde seg til de samme reglene og administrative systemene. Dette innebærer at det i begrenset grad er mulig å fastsette særskilte personvernregler for Norge. Den viktigste oppfølgingen av forordningen er derfor å sørge for effektiv håndheving og fortolkning av regelverket.
For å oppnå en felleseuropeisk forståelse av personvernforordningen er samarbeidet i Det europeiske personvernrådet sentralt. En av Rådets viktigste oppgaver er å gi retningslinjer om hvordan personvernforordningen skal tolkes og anvendes. Deltakelse i det felleseuropeiske personvernarbeidet gir mulighet til å påvirke fortolkningen av regelverket. Datatilsynet har derfor valgt å være en aktiv bidragsyter i Rådets arbeid og har påtatt seg lederroller i flere større arbeider.
Personvernforordningen lar datatilsynene i EØS-landene ilegge overtredelsesgebyr når reglene blir brutt. Det kan ilegges et gebyr på inntil 20 millioner euro eller – hvis det dreier seg om et foretak – fire prosent av global omsetning i det forrige regnskapsåret. I tillegg har Datatilsynet flere andre håndhevingsverktøy, som myndighet til å forby lovstridig behandling av personopplysninger og kompetanse til å ilegge tvangsmulkt for manglende etterlevelse av pålegg. I disse verktøyene ligger det et stort potensial for å sikre regeletterlevelse.
Grenseoverskridende personvernsaker
Grenseoverskridende personvernsaker er saker der en virksomhets behandling av personopplysninger påvirker personer i flere EØS-stater, eller der behandlingen skjer fordi virksomheten er etablert i flere EØS-stater. Fordi dataøkonomiens store personvernutfordringer eksisterer i en internasjonal kontekst, er det særlig viktig at lovbrudd i slike saker sanksjoneres.
Behandling av grenseoverskridende saker ledes av datatilsynet i landet hvor selskapet har hovedetablering. Dette kalles for «one-stop-shop»-mekanismen. Mekanismen er viktig for å sikre en harmonisert fortolkning av regelverket, og praktisk fordi virksomheter og borgere kun trenger å forholde seg til ett datatilsyn innenfor EØS.
Siden ikrafttredelsen av personvernforordningen har en del grenseoverskridende saker blitt avgjort via samarbeidsmekanismen. Samtidig viser Europakommisjonens evaluering av forordningen at håndheving i slike saker er utfordrende.15 Fordi flere datatilsyn skal involveres, og sakene gjerne er kompliserte og omfattende, tar behandlingen ofte lang tid.
Flere av de store internasjonale IT-aktørene, som Facebook, Google og Twitter, har hovedkontor i Irland. Det irske datatilsynet (The Data Protection Commission – DPC) er i dag derfor ledende tilsynsmyndighet for flere viktige grenseoverskridende saker, og avgjørelsene vil kunne få stor betydning for fortolkningen av reglene. Til tross for at det irske datatilsynet er et av de tilsynene som har hatt størst økning i antall ansatte som følge av innføringen av personvernforordningen, er belastningen stor og saksbehandlingstiden lang.
Europakommisjonens gjennomgang viser også at datatilsynene ikke fullt ut har tatt i bruk samarbeidsverktøyene som ligger i personvernforordningen, som adgangen til å gjennomføre felles undersøkelser og håndhevingstiltak. Kommisjonen melder om at den framover vil arbeide med å gjøre behandling av grenseoverskridende saker mer effektivt og harmonisert.
7.4 Digital sikkerhet
God digital sikkerhet er et viktig fundament i den digitale økonomien og dataøkonomien. Samfunnets sårbarhet for digitale trusler blir stadig større, og når det samles inn, lagres og behandles mer data, øker også eksponeringsflaten for sårbarheter.
I januar 2019 la regjeringen fram Nasjonal strategi for digital sikkerhet og Nasjonal strategi for digital sikkerhetskompetanse. Viktige mål i strategien er at norske virksomheter skal drive digitaliseringsarbeid på en sikker og tillitvekkende måte, og kunne beskytte seg mot uønskede digitale hendelser.
Det er et mål at vårt samfunn har en robust og pålitelig digital infrastruktur, nødvendig kompetanse innenfor sikkerhet og evne til å avdekke og håndtere digitale angrep. Strategien legger også til rette for at privatpersoner får nødvendig kunnskap og risikoforståelse for å kunne ta i bruk teknologi på en trygg måte. Strategien legger vekt på at det i fellesskap skal utvikles tiltak som kan styrke den digitale sikkerheten i samfunnet.
7.4.1 Risikobildet blir stadig mer komplisert
Det er store verdier i data som forvaltes av offentlige og private virksomheter. Samtidig er den digitale verdikjeden og aktørbildet komplisert, ofte med både nasjonale og utenlandske aktører. Det er ikke mulig å overskue alle mulige framtidige sikkerhetsutfordringer. Derfor er det nødvendig med god kompetanse innenfor digital sikkerhet, slik at utviklingen kan følges, og slik at tiltakene som settes i verk, er tilpasset risikobildet.
Statlig etterretning og kriminelle aktører utgjør de største digitale truslene mot Norge, ifølge Nasjonal sikkerhetsmyndighet (NSM). NSM ser et jevnt trykk av digitale angrep mot norske mål, inkludert mot virksomheter som ivaretar viktige samfunnsfunksjoner.16
7.4.2 Informasjonssikkerhet ved deling av data
Informasjonssikkerhet er en del av den digitale sikkerheten og handler om å sikre både konfidensialitet, integritet og tilgjengelighet i opplysninger som behandles og utveksles digitalt.
Noen data vil ha behov for skjerming og hemmelighold. Datasett som inneholder slike opplysninger kan ikke være åpent tilgjengelige, og må deles kun etter avtale, og når begge parter er sikre på at de har hjemmel til å utveksle og benytte informasjonen. Overføringen må være hensiktsmessig sikret, og mottakeren må sikre at konfidensialiteten er ivaretatt i sine systemer. Kryptering kan være et virkemiddel for dette.
Integritetssikring er alltid viktig, også ved deling av data. Det må etableres rutiner og systemer for utveksling som sikrer at informasjonen som mottas er lik den som ble sendt, og at det ikke har skjedd endringer – enten tilsiktet eller på grunn av feil – i løpet av overføringen. Der det ikke foreligger tilstrekkelige rutiner og systemer for å sikre integriteten i overføringen, må dette være klart kommunisert til mottakeren.
Tilgjengelighet handler om å få tilgang til dataene når det er behov for det. Behovet for dette vil variere avhengig av hvilke systemer det er snakk om.
Dersom en virksomhet skal benytte en datakilde i en av sine arbeidsoppgaver eller tjenester, må det kartlegges hvilke informasjonstyper som behandles i arbeidsoppgaven, og hvilket behov det er for sikring av konfidensialitet, integritet og tilgjengelighet. Dette vil være uavhengig av hvor informasjonen er hentet fra.
Hensynene til konfidensialitet, integritet og tilgjengelighet må ofte veies opp mot hverandre. Sterk konfidensialitetssikring kan for eksempel gjøre at dataene blir vanskeligere tilgjengelige. Da må det vurderes hvilket hensyn som er viktigst i den konkrete situasjonen.
Boks 7.4 Sikkerhetsloven og sammenstilling av data
Sammenstilling av noen typer opplysninger kan medføre en risiko for at hele eller deler av den de sammensatte dataene blir skjermingsverdige etter sikkerhetsloven. Dette gjelder dersom dataene, når de blir sammenstilt, har et skadepotensial for nasjonale sikkerhetsinteresser.
Dette kan være en aktuell problemstilling for offentlige virksomheter som skal gjøre data tilgjengelige. Det kan være krevende for den enkelte å vurdere hva skadepotensialet vil være dersom opplysningene kombineres med datasett fra andre. NSM gir veiledning i håndtering av informasjon som faller inn under sikkerhetsloven.
Kilde: NSM (2020): Veileder i verdivurdering av informasjon
7.5 Håndheving og tilsyn
Regjeringen er opptatt av å ha et effektivt tilsyn som er tilpasset samfunnets utfordringer og behov på konkurranse-, forbruker- og personvernområdet.
Datatilsynets budsjett har blitt betydelig styrket de siste årene. Bakgrunnen for økningen er at tilsynet fikk nye oppgaver da personvernforordningen ble gjennomført i norsk rett sommeren 2018. Budsjettøkningen skal særlig gjøre tilsynet godt rustet til å delta i det europeiske personvernsamarbeidet.
Regjeringen har som mål å styrke tilsynsarbeidet med og veiledningen om forbrukervernreglene i den digitale økonomien. For 2019 og 2020 har Forbrukertilsynet derfor fått økte bevilgninger. En annen viktig grunn er å styrke Forbrukertilsynets internasjonale arbeid, herunder med koordinerte tilsynsaksjoner over landegrensene.
Konkurranse i en digital økonomi er et av satsingsområdene for Konkurransetilsynet framover.17 Konkurransetilsynet skal legge til rette for at digitalisering bidrar til økt konkurranse og derigjennom effektiv bruk av samfunnets ressurser. Konkurransetilsynet skal videre vurdere mulighetene digitalisering gir for å avdekke konkurransekriminalitet og effektivisere etterforskningsmetoder.
Samarbeid mellom tilsynsorganene i Norge
Dataøkonomien reiser problemstillinger som går på tvers av ulike sektorregelverk, særlig personvern-, forbrukervern- og konkurranselovgivningen. Det er derfor viktig at de rette tilsynsmyndighetene samarbeider og utveksler kompetanse og informasjon og deltar i relevante internasjonale forum både nasjonalt og internasjonalt. I Norge har Datatilsynet og Forbrukertilsynet etablert et godt samarbeid om forbruker- og personvernspørsmål de siste årene. Framover blir det viktig å styrke dette samarbeidet. Høsten 2020 ble det avholdt et webinar om digitale markeder, arrangert i samarbeid av Datatilsynet, Forbrukertilsynet, Forbrukerrådet og Konkurransetilsynet. Her ble blant annet norske myndigheters rolle i en digital økonomi diskutert. Regjeringen er opptatt av å se politikken og regelverket på disse områdene i sammenheng.
I europeisk sammenheng har Det europeiske datatilsynet (European Data Protection Supervisor) etablert initiativet Digital Clearinghouse. Her diskuterer tilsynsorganer med ansvar for personvern, forbrukervern og konkurranse hvordan de ulike regelverkene kan ses i sammenheng for å sikre at den digitale økonomien fungerer godt. Regjeringen lanserte i Meld. St. 25 (2018–2019) Framtidas forbrukar – grøn, smart og digital at den vil opprette et tilsvarende samarbeidsforum på nasjonalt nivå, Digital Clearing House Norge. Det er Forbrukertilsynet som har fått oppgaven med å etablere samarbeidsforumet i løpet av 2021. Formålet er blant annet å effektivisere håndheving, unngå dobbeltarbeid og sikre helhetlig tilnærming.
7.6 Regjeringen vil
Regjeringen vil
oppmuntre til at det opprettes og tas i bruk mekanismer for personvernsertifisering
oppmuntre til utvikling og bruk av adferdsnormer (bransjenormer) for personvern
vurdere å opprette regulatoriske sandkasser på flere områder som er relevante for utviklingen av dataøkonomien og datadrevet innovasjon
utrede muligheten for å etablere en digital løsning som omfatter flere behandlingsansvarlige, der innbyggere kan få innsyn i og eventuelt administrere bruken av egne personopplysninger, herunder gi samtykke til deling
oppmuntre offentlige og private virksomheter til å utvikle løsninger som forenkler individers tilgang til informasjon om og kontroll over hvordan deres personopplysninger blir behandlet, og eventuelt delt
styrke kunnskapen om personvernregelverket hos forbrukere og næringsdrivende
etablere et nasjonalt samarbeidsforum for å styrke tilsynet på digitalområdet, etter modell av det europeiske Digital Clearinghouse
Fotnoter
Stortinget har tidligere bedt regjeringen vurdere hvordan konkurranseregelverket og håndhevingen av dette bør foretas i møte med dataøkonomien, jf. Innst. 8 S (2017–2018) og i Innst. 453 S (2016–2017).
OECD (2015): Addressing the Tax Challenges of the Digital Economy, Action 1 – 2015 Final Report, OECD/G20 Base Erosion and Profit Shifting Project, OECD Publishing, Paris
OECD (2020): Tax Challenges arising from the Digitalisation – Report on Pillar TwoBlueprint: Inclusive Framework on BEPS, OECD/G20 Base Erosion and Profit Shifting Project, OECD Publishing, Paris
OECD (2020): Tax Challenges arising from the Digitalisation – Report on Pillar One Blueprint: Inclusive Framework on BEPS, OECD/G20 Base Erosion and Profit Shifting Project, OECD Publishing, Paris
Datatilsynet (2015): Det store datakappløpet. Rapport om hvordan kommersiell bruk av personopplysninger utfordrer personvernet. November 2015
Forbrukerrådet (2020): Out of Control. How consumers are exploited by the online advertising industry – and what we are doing to make it stop
Directive (EU) 2019/2161
EU 2019/770. Direktivet er forhandlet fram som en «pakke» sammen med det nye direktivet 2019/771 om salg av varer til forbruker.
Personvernforordningen art 6. nr. 4 oppstiller momenter som skal tas i betraktning ved vurderingen av om det nye formålet er forenlig eller uforenlig. Forenlig viderebruk er uten videre tillatt.
Personvernforordningen art. 6 nr. 4, jf. art. 23 nr. 1 og Prop. 56 LS (2017–2018). Er grunnlaget lov, må bruken være et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre nærmere bestemte vesentlige samfunnshensyn.
Personvernforordningen art. 4 og art. 7. I noen tilfeller må et samtykke være gitt på en ekstra tydelig måte, for eksempel hvis det gjelder særlige kategorier personopplysninger. Forordningen gir særregler for samtykke ved barns bruk av digitale tjenester.
Communication from the Commission to the European Parliament and the Council. Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition – two years of application of the General Data Protection Regulation. COM/2020/264 final
Communication from the Commission to the European Parliament and the Council. Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition – two years of application of the General Data Protection Regulation. COM/2020/264 final
Datatilsynet (2020): Personvernundersøkelsen 2019/2020
Communication from the Commission to the European Parliament and the Council. Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition – two years of application of the General Data Protection Regulation. COM/2020/264 final
NSM (2020): Helhetlig digitalt risikobilde 2020
Nærings- og fiskeridepartementet (2020): Konkurransetilsynet (KT) – Tildelingsbrev