Høring

NOU 2022:11 Ditt personvern - vårt felles ansvar. Personvernkommisjonens rapport

Adressat
Kommunal- og distriktsdepartementet
Skrevet av
IKT og personvern
Sendt 10. februar 2023

1 Innledning

Advokatforeningens tillitsvalgte advokater utfører et omfattende frivillig og ulønnet arbeid for å ivareta rettsstaten, rettssikkerheten og menneskerettighetene. En del av dette arbeidet består i å utarbeide høringsuttalelser.

Advokatforeningens høringsarbeid er organisert i 27 lovutvalg og 13 faste utvalg, oppdelt etter særskilte rettsområder og rettslige interesseområder. Om lag hundre høringsuttalelser utarbeides av Advokatforeningens tillitsvalgte advokater hvert år.

Alle våre høringsuttalelser er forfattet av advokater med ekspertise innenfor det rettsområdet som lovforslaget gjelder. En ekspertise som ikke er hentet kun fra juridisk teori, men fra advokatenes praktiske erfaring med å bistå sine klienter – i den norske rettsstatens hverdag. Denne høringsuttalelsen er skrevet ut fra Advokatforeningens ønske om å bidra til gode lovgivningsprosesser, og gode lover.

2 Sakens bakgrunn

Vi viser til høringsbrev fra Kommunal- og distriktsdepartementet datert 11. november 2022, med høringsfrist den 10. februar 2023. Høringen gjelder Personvernkommisjonens utredning, NOU 2022:11 Ditt personvern – vårt felles ansvar hvor kommisjonen har kartlagt personvernutfordringer og konsekvenser, og foreslått tiltak innen fire hovedområder: offentlig sektor, justissektoren, skole- og barnehagesektoren og forbrukersektoren.

Dette høringssvaret er i hovedsak utarbeidet av Advokatforeningens lovutvalg for IKT og personvern, bestående av Malin Tønseth (leder), Øyvind Molven, Kari Gimmingsrud, Christopher Sparre-Enger Clausen, Eirin Helen Hauvik, Lars Arnesen og Gry Steen Hvidsten.

Departementet har særskilt bedt høringsinstansene om merknader til kommisjonens hovedanbefaling når det gjelder utarbeidelse av en nasjonal personvernpolitikk som blant annet kan bidra til å sikre reell ivaretakelse av personvernet, herunder både behovet for og eventuelt forslag til elementer som kan inngå i en nasjonal personvernpolitikk. I tillegg har departementet bedt om at berørte og interesserte aktører vurderer utredningens forslag og anbefalinger.

3 Kommentarer

3.1 Generelt

Advokatforeningen støtter kommisjonens ståsted om at det bør gjennomføres både politiske og forretningsmessige grep, og at kultur- og kompetansebygging er nødvendig. Advokatforeningen oppfatter at de foreslåtte anbefalingene og tiltakene i hovedsak fremstår som egnede og godt begrunnede. Kommisjonens utredning inneholder mer enn 140 anbefalinger og tiltak, og i det følgende vil Advokatforeningen kommentere et utvalg av de anbefalingene og tiltakene Advokatforeningen har sett behov for å kommentere.

3.2 Kommentarer til kapittel 5 – Det teknologiske landskapet som påvirker personvernet

Advokatforeningen støtter kommisjonens anbefalinger i kapittel 5.4, herunder særlig hva gjelder et generelt forbud mot bruk av biometrisk fjernidentifikasjon i offentlige rom, og at norske myndigheter bør arbeide internasjonalt, særlig opp mot EU, for å få gjennomført et forbud. Uavhengig av konklusjoner internasjonalt og innad i EU, bør et slikt generelt forbud uansett gjennomføres nasjonalt i Norge. Aktivt arbeid internasjonalt og mot EU er likevel kritisk både for å opprettholde og styrke felles normer og verdier, også av hensyn til enkeltindividers forflytning på tvers av landegrenser og de konsekvenser biometrisk fjernidentifikasjon i offentlige rom i andre land kan få for både enkeltindividets personvern, men også for kritiske nasjonale forretningsmessige og samfunnsmessige implikasjoner.

Videre er Advokatforeningen enig med kommisjonen om at det er avgjørende at norske politikere har en grunnleggende teknologiforståelse. Grunnleggende forståelse og kunnskap vil være en forutsetning for politiske beslutninger som må tas og ikke minst det lovgivende arbeidet fremover.

Advokatforeningen støtter kommisjonens anbefalinger om at det bør være et grunnleggende samfunnsprinsipp at innføringen av inngripende teknologi ikke gjøres uten å ha kartlagt hvilke problemer man faktisk ønsker å løse, og at det gjøres grundige vurderinger av om det finnes mindre inngripende veier til målet. Advokatforeningen viser også til at offentlige myndigheter og -virksomheter har et særlig ansvar når det tas i bruk ny teknologi som kan utfordre personvernet og da særlig når slik teknologi er tenkt tatt i bruk for mange borgere. Dette ansvaret tydeliggjøres når den enkelte borger i møte med slik teknologi i liten grad har et fritt valg hva gjelder det å benytte løsningen. Bruk av ny teknologi i samfunnet, som kan medføre betydelige personvernkonsekvenser, må derfor være gjenstand for offentlig debatt. Før teknologi med særlig høy risiko for personvernet vurderes innført, bør føre-var-prinsippet som utgangspunkt komme til anvendelse. Det kan likevel unntaksvis være situasjoner der andre særlig tungtveiende hensyn, for eksempel når liv og helse åpenbart står på spill, må gå foran.

Advokatforeningen er enig i at dette er prinsipper som særlig gjør seg gjeldende hvis myndighetene ønsker å ta i bruk potensielt inngripende teknologi, men Advokatforeningen er også av den oppfatningen at disse prinsippene er like relevante hvor det private ønsker å ta i bruk potensielt inngripende teknologi.

Advokatforeningen ønsker også å fremheve viktigheten av å se sammenhengen og helheten i informasjonssamfunnets drivere som nevnes (sporingsteknologier og sensorer som tilrettelegger for økt innsamling av data, nye infrastrukturer for tilkobling som tilrettelegger for mer effektiv transport og overføring av data, lagringsteknologi som muliggjør lagring av store mengder data, og kraftig prosesseringskraft muliggjør automatisk analyse av enorme datasett, blant annet gjennom maskinlæringssystemer) og de ulike interessene og insentivene på privat og offentlig sektor hva gjelder nyttegjøringen av disse driverne. Sammenhengen og totaliteten av hvordan slike drivere benyttes for henholdsvis ganske ulike formål må hensyntas ved krav om å benytte kommisjonens anbefalinger som nevnt over, og innføringen av den enkelte potensielle inngripende teknologi eller teknologi med høy risiko for personvernet kan ikke vurderes isolert uten at totalbildet og de mulige konsekvensene totalbilde kan få for både enkeltindividets personvern og samfunnseffektene av dette.

3.3 Kommentarer til kapittel 6 – Personvern i den digitale forvaltningen

Advokatforeningen støtter kommisjonens anbefalinger i kapittel 6.5, herunder særlig anbefalingen om at det iverksettes systematiske personvernutredninger i lovarbeider og at det er behov for større søkelys på vurdering av personvernkonsekvenser. Advokatforeningen ser også, som ledd i sitt høringsarbeid, at en rekke forskrifts- eller lovforslag ofte mangler en vurdering av om eksisterende regelverk er tilstrekkelig til å ivareta de hensynene og formålene som skal oppnås. Advokatforeningen støtter derfor at dette vies større oppmerksomhet til dette og mener også, i likhet med kommisjonen, at dagens utredningsinstruks bør oppdateres og utvides med en forståelig og anvendelig veileder for vurdering av personvernkonsekvenser i lov- og forskriftsarbeid.

Advokatforeningen er ellers også enig med Personvernkommisjonen i viktigheten av at delingen av personopplysninger mellom ulike etater er tilstrekkelig hjemlet i lov- eller forskrift, og at legalitetsprinsippet tilsier at adgangen til deling på tvers av sektorer og etater så langt som mulig bør presiseres i lov frem for forskrift hva gjelder tiltak med stor innvirkning på innbyggernes personvern. Jo mer inngripende behandlingen er, jo strengere er kravet til klarhet og presisjon. Det støttes også at lovarbeid i større grad må ha fokus på avklaring av ansvarsforholdet mellom samarbeidende organer ved slik deling.

Advokatforeningen er videre enig i at en rekke av dagens lover og forskrifter fremstår som fragmenterte og ser at dette øker risikoen for inkonsistens samt at totaliteten av ulike lovhjemler blir uoversiktlig og skaper uforutsigbarhet. Advokatforeningen støtter derfor også at regelverkutviklingsarbeidet fremover koordineres i større grad enn tidligere på tvers av offentlig sektor for en mer helhetlig tilnærming.

Advokatforeningen er også enig med Personvernkommisjonen i at det er viktig at det gjøres både personvern- og datastrategiske vurderinger når det offentlige benytter tjenester fra store teknologiselskaper. Kommisjonen anbefaler blant annet at det gjøres flere vurderinger i fellesskap på tvers av sektorer og nivåer som i større grad sikrer forsvarlige vurderinger. Advokatforeningen støtter dette, men påpeker samtidig viktigheten av at det utformes konkrete forslag til hvordan et slikt samarbeid skal foregå samt hvordan man skal sikre at resultatet av vurderingene blir implementert lokalt, fulgt opp og etterfølgende kontrollert. For at slik tverrsektorielt samarbeid skal bli vellykket er det videre avgjørende at det foreligger et klart mandat som fastlegger beslutningskompetanse, hvilke aktører som skal involveres, samt andre rammer for samarbeidet. Samtidig vil Advokatforeningen peke på at det samme gjelder ved bruk av løsninger fra mindre aktører. Det er ikke gitt at det offentlige vil oppnå bedre (eller tilsvarende) informasjonssikkerhet og robusthet ved bruk av løsninger fra mindre aktører. Tilsvarende kan personvernet også utfordres ved bruk av løsninger fra mindre aktører samtidig som mer "lokale løsninger" kan ha begrenset funksjonalitet og være uegnet av andre grunner. Dette er derfor komplekse vurderinger som må gjøres der ulike, og eventuelt motstridende hensyn, må vurderes. Videre peker Advokatforeningen på at det de senere årene har vært et økt press og fokus på de største teknologiselskapene som stadig utfordres til å tilby mer personvernvennlige løsninger, herunder gjennom eksisterende og kommende lovgivning.

3.4 Kommentarer til kapittel 7 – Personvern i justissektoren

Advokatforeningen støtter kommisjonens anbefalinger i kapittel 7.5.

Videre ser Advokatforeningen i likhet med kommisjonen, som en del av sitt høringsarbeid, at vurderinger av personvernkonsekvenser kan være begrensede og mangelfulle i forbindelse med nye lov- og forskriftsforslag, og at samlede effekter ved innføring av flere inngripende forslag får for liten oppmerksomhet. Advokatforeningen mener, i likhet med kommisjonen, i at det er risiko for at personvernet settes under press når det overordnede hensynet som søkes oppnådd er effektiv kriminalitetsbekjempelse. Advokatforeningen støtter derfor særskilt kommisjonens anbefaling om å sørge for at personvernkonsekvenser drøftes i tilstrekkelig grad særlig i forbindelse med lov- og forskriftsarbeid innenfor justissektoren. Det samlede overvåkningstrykket, som ledd i kriminalitetsbekjempelsestiltak, bør etter Advokatforeningens syn alltid vies særskilt oppmerksomhet og vurderes i et helhetlig perspektiv som ledd i lovarbeid samt være gjenstand for offentlig debatt.

3.5 Kommentarer til kapittel 8 – Personvern i skolen og barnehagen

Advokatforeningen støtter kommisjonens anbefalinger i kapittel 8.5, herunder særlig kommisjonens anbefaling om etablering av en nasjonal personvernpolitikk for barnehage og skole som innehar klare krav til at leverandører av tjenester til skole- og barnehagesektoren ikke forbeholder seg retten til å bruke barn og unges data til kommersielle formål, spesielt markedsføringsaktiviteter. Barns personvern utfordres i stadig større grad, og settes gjerne ytterligere under press når ny teknologi tas inn i skolene uten at det gjøres forsvarlige vurderinger. Det er derfor avgjørende med kompetanseheving blant ledelsen og andre som ivaretar beslutninger om hvilke løsninger som skal tas i bruk og hvordan. Advokatforeningen støtter derfor at det utarbeides tilpassede rutiner og veiledninger til skoleledelse og lærere. Når det gjelder innkjøp og forhandlinger, spesielt hva gjelder løsninger som skolene anskaffer fra de største leverandørene viser Advokatforeningen til de generelle kommentarene som er trukket frem i kommentaren til kapittel 6.

3.6 Kommentarer til kapittel 9 – Forbrukernes personvern

Advokatforeningen støtter i hovedsak kommisjonens anbefalinger i kapittel 9.6.

Advokatforeningen er enig med kommisjonens mindretall om at et generelt forbud mot atferdsbasert markedsføring ikke nødvendigvis vil være i forbrukernes interesse. Dette både av hensyn til tilgang på uavhengig kvalitetsjournalistikk som i dag vesentlig finansieres gjennom digital markedsføring, men også av hensyn til sorteringsmekanismene dette innebærer i form av at den grenseløse mengden informasjon som internett gir tilgang til ikke blir nyttig om den ikke kan sorteres og prioriteres.

Advokatforeningen peker ellers også på at et eventuelt nasjonalt forbud bør vurderes opp mot EØS-rettslige forpliktelser og harmoniseringshensyn som Norge er underlagt gjennom personvernforordningen. Etter Advokatforeningens syn bør det i større grad være søkelys på hvilke skranker for atferdsbasert markedsføring som allerede følger av eksisterende regler og/eller bør vurderes å innføres, frem for utredning av et rent forbud. Atferdsbasert markedsføring, basert på behandling av personopplysninger, vil allerede etter dagens regelverk være ulovlig uten tilstrekkelig behandlingsgrunnlag etter forordningen artikkel 6.

Advokatforeningen er videre enig med kommisjonens mindretall om forbud mot bruk av data om barn og særlige kategorier data, og at innsamling og bruk av data for å bygge og berike profiler på tvers av ulike behandlingsansvarlige er vanskelig for forbrukere å forstå og kontrollere, og at et forbud mot slik bruk av tredjepartsdata bør utredes.

Videre er Advokatforeningen enig med kommisjonens anbefaling om at norske importører, forhandlere og bransjeorganisasjoner bør ha informasjon tilgjengelig om hvordan personvernet ivaretas før salg av tilkoblede produkter, samt at forhandlere bør ha kontrollrutiner på plass for å sikre at produkter som selges i Norge opererer i tråd med personvernforordningen og ekomloven, og stiller krav til sine leverandører knyttet til blant annet dataminimering, formålsbegrensning og personvern som grunninnstilling. Imidlertid er Advokatforeningen ikke av den oppfatning at det for alle tilfeller vil være hensiktsmessig at forhandlere får et rettslig ansvar for manglende IKT-sikkerhet og personvern i produkter de selger da dette vil kunne føre til uheldige konsekvenser som for eksempel manglende tilgang på produkter nasjonalt dersom importører og forhandlere vesentlig begrenser sine sortiment på bakgrunn av frykt for risikoen et rettslig ansvar vil innebære.

3.7 Kommentarer til kapittel 10 – Regelkompleksitet og nasjonalt handlingsrom

Advokatforeningen støtter kommisjonens anbefalinger i kapittel 10.4, herunder særlig hva gjelder at det må skje et kontinuerlig arbeid med å gjøre rettsregler så forståelige som mulig.

Advokatforeningen er også enig i anbefalingen om at det må gis et spesielt vern for personer som utsettes for helt automatiserte avgjørelser i tråd med forordningens regler, og at det er behov for regler som sikrer tilstrekkelig dokumentasjon og gjennomsiktighet i automatiserte avgjørelsesprosesser ettersom dokumentasjon er en forutsetning for at den enkelte part, eventuelt med hjelp, reelt sett skal være i stand til å motsi resultater fra automatiserte vedtak og ha grunnlag for å klage på avgjørelsen.

Advokatforeningen støtter også anbefalingen om å benytte virkemidler som informasjonsbestemmelser i norsk, nasjonal lovgivning for å skape bedre sammenheng mellom personvernforordningen og annet relevant regelverk, særlig hva gjelder individuelle rettigheter og som det derfor er en forutsetning at et stort antall mennesker uten juridisk skolering skal kunne forstå og som fremgangsmåten i sammenheng med regler som gjelder plikter som et stort antall små og mellomstore virksomheter må kunne etterleve.

Advokatforeningen ønsker også å påpeke at det samtidig er viktig å sikre den fleksibiliteten som er nødvendig rent lovteknisk når regelverk skal anvendes på mange ulike scenarioer, hvor rom for skjønnsmessige vurderinger fremdeles vil være sentralt rent lovteknisk.

3.8 Kommentarer til kapittel 11 – Teknologi i personvernets tjeneste

Advokatforeningen støtter kommisjonens anbefalinger i kapittel 11.5, herunder særlig at norske myndigheter stimulerer til utvikling av norsk personvernteknologi ved tiltak som kan inkludere blant annet anskaffelseskrav i offentlig sektor, forskningsmidler for å fremme personvernfremmende teknologi, og midler gjennom forskjellige bevilgningsordninger. En standard kravspesifikasjon for personvern i offentlig sektor vil ikke bare være til hjelp for ulike behandlingsansvarlige i offentlig sektor hva gjelder forenklede prosesser med å spesifisere konkrete systemløsninger som skal anskaffes, men vil også være en pådriver for at også produsenter av teknologiske produkter i større grad tenker på innebygd personvern og personvernsfremmede teknologi ved utvikling og innovasjon.

3.9 Kommentarer til kapittel 12 – Åpenhet

Advokatforeningen støtter i hovedsak kommisjonens anbefalinger i kapittel 12.8, men ser likevel grunn til å påpeke at selv om lydhørhet og medvirkning i utviklingen av løsninger som behandler personopplysninger i seg selv vil være en form for åpenhet, som også kan bidra til bedre systemer og rutiner som tilfredsstiller flere av de registrertes behov, vil dette ikke alltid være mulig eller praktisk gjennomførbart. Det samme gjelder for kommisjonens anbefaling hva gjelder at enkeltpersoner bør i så stor grad som personvernforordningen tillater det, ha direkte tilgang til opplysninger om egen person gjennom sikre påloggingsrutiner. Det er ikke alltid like praktisk for alle typer behandlingsansvarlige å tilrettelegge for lignende innloggingstjenester som for eksempel banktjenester, Altinn og kjernejournal.

3.10 Kommentarer til kapittel 13 – Veiledning, tilsyn og klage

Advokatforeningen støtter kommisjonens anbefalinger i kapittel 13.8. Særlig hva gjelder kommisjonens anbefalinger om at det kan være hensiktsmessig at Datatilsynet organiserer seg slik at en behandlingsansvarlig ikke risikerer å få tilsyn basert på informasjon som stammer fra dialog knyttet til Datatilsynets veiledning av virksomheten.

Som kommisjonen påpeker, har det en stor verdi å kunne konsultere Datatilsynet for veiledning, og det er meget uheldig om virksomheter er reserverte når det gjelder å søke veiledning fordi de vet at det er det samme organet som senere kan føre tilsyn og eventuelt ilegge sanksjoner.

4 Avslutning/oppsummering

Advokatforeningen finner i hovedsak å kunne støtte de fleste anbefalingene og tiltakene fremlagt av kommisjonen i utredningen. Advokatforeningen har likevel sett viktigheten av å kommentere forslaget fra kommisjonens flertall om utredning av et generelt forbud mot atferdsbasert markedsføring, hensiktsmessigheten av at forhandlere får et rettslig ansvar for manglende IKT-sikkerhet og personvern i produkter de selger, og viktigheten i behovet for større søkelys på vurdering av personvernkonsekvenser ved lov- og forskriftsarbeid.

 


                                         Vennlig hilsen

 

Jon Wessel-Aas                                                        Merete Smith
leder                                                                          generalsekretær