Høring

Forslag til endringer i politiregisterloven og grenseloven - testing og utvikling og PSTs behandling av åpent tilgjengelig informasjon mv

Adressat
Justis- og beredskapsdepartementet
Skrevet av
IKT og personvern
Sendt 20. januar 2025

1 Innledning

Advokatforeningens tillitsvalgte advokater utfører et omfattende frivillig og ulønnet arbeid for å ivareta rettsstaten, rettssikkerheten og menneskerettighetene. En del av dette arbeidet består i å utarbeide høringsuttalelser. 

Advokatforeningens høringsarbeid er organisert i 28 lovutvalg, oppdelt etter særskilte rettsområder og rettslige interesseområder. Om lag hundre høringsuttalelser utarbeides av Advokatforeningens tillitsvalgte advokater hvert år.

Alle våre høringsuttalelser er forfattet av advokater med ekspertise innenfor det rettsområdet som lovforslaget gjelder. En ekspertise som ikke er hentet kun fra juridisk teori, men fra advokatenes praktiske erfaring med å bistå sine klienter – i den norske rettsstatens hverdag. Denne høringsuttalelsen er skrevet ut fra Advokatforeningens ønske om å bidra til gode lovgivningsprosesser, og gode lover. 

2    Sakens bakgrunn

Vi viser til høringsnotat fra Justis- og beredskapsdepartementet om forslag til endringer i politiregisterloven, politiregisterforskriften, straffeprosessloven, politiloven og grenseloven om testing og utvikling av informasjonssystemer og PSTs behandling av åpent tilgjengelig informasjon mv. Høringen har frist 20. januar 2025. 

Denne høringsuttalelsen er i hovedsak utarbeidet av Advokatforeningens lovutvalg for IKT og personvern. Lovutvalget består av Malin Tønseth (leder), Gry Hvidsten, Kari Gimmingsrud, Eli Karine Navestad, Ole Martin Moe, Odd Kleiva og Knut-Erik Jakhelln, som alle har lang erfaring og god kompetanse innenfor det aktuelle rettsområdet.   

3    Kommentarer  

Overordnet virker begrunnelsen for de fremsatte forslagene for å være fornuftig, og Advokatforeningen registrerer at departementet vurderer at de personvernmessige konsekvensene av forslaget står i et rimelig forhold til de formålene bestemmelsene skal oppnå. 

Advokatforeningen ønsker å knytte noen kommentarer til enkelte deler av høringsnotatet. 

3.1    Krav om behandlingsansvarliges godkjenning - høringsnotatet 2.6.3.4 mv. 

Advokatforeningen støtter at det forskriftsfestes et krav om behandlingsansvarliges godkjenning av behandling av opplysninger til testing og godkjenning og at dette dokumenteres. 

Advokatforeningen registrerer imidlertid at forskriften kun fastsetter at den behandlingsansvarlige «kan» stille nærmere krav til behandlingen. Advokatforeningen mener at det bør vurderes om det bør fremkomme tydeligere at det i visse tilfeller vil være en plikt til å stille nærmere krav til behandlingen. Eksempelvis fremkommer det i 2.6.3.11 en forutsetning om at personopplysninger ikke vil kunne utleveres til andre som følge av adgangen til bruk av opplysninger til test og godkjenning. Imidlertid vil dette være en mulighet dersom testingen og godkjenningen gjelder skybaserte tjenester hvor opplysningene må behandles i en tredjeparts dataløsninger, eller dersom testingen eller utviklingen gjøres ved hjelp av IT-leverandører eller konsulenter. I slike tilfeller antar Advokatforeningen at den behandlingsansvarlige vil kunne ha en plikt til å stille tilleggsvilkår om f.eks. informasjonssikkerhet, kryptering eller andre tekniske/organisatoriske tiltak for å tillate testingen eller utviklingen.  

3.2    Trening av maskinlæringsmodeller - høringsnotatet punkt 2.6.3.3

I høringsnotatet punkt 2.6.3.3 siste avsnitt konstaterer departementet at «Ved trening av maskinlæringsmodeller ved bruk av reelle data er det en potensiell risiko for at modellen «husker» deler av dataen den er trent på. Ved treningen vil opplysningene kunne omformes til såkalte «vekter» (tall som representerer vektorer/tensorer) i modellen. Opplysningene vil dermed bli en integrert del av modellen, som det ikke er mulig å fjerne uten å slette hele modellen. Etter departementets vurdering vil disse vektene ikke anses som personopplysninger i LEDs forstand da de ikke lenger kan knyttes til fysiske personer som kan identifiseres direkte eller indirekte, og de omfattes dermed ikke av slettekravet.»

Etter Advokatforeningens vurdering kan dette være riktig for enkelte maskinlæringsmodeller, men konstaterer at det for flere virksomheter nettopp er maskinlæringsmodellers evne til å «huske» treningsdata som oppleves som en mulig skranke i forbindelse med implementering av IT-systemer som bygger på maskinlæringsteknologi. Den siterte uttalelsen ser ikke ut til å være nærmere begrunnet og kan etter Advokatforeningens syn fremstå for generell og unyansert. Advokatforeningen vil dermed oppfordre til en nærmere vurdering og begrunnelse, samt eventuelt nyansering, av dette temaet.


                                                   Vennlig hilsen

 

Siri Teigum                                                                             Merete Smith
leder                                                                                         generalsekretær