Hva kan vi lære av koronaåret?

Koronapandemien preget samfunnet i 2020. Digitaliseringen skjøt fart, og mange ble kjent med ny teknologi raskere. Som samfunn har det gitt oss en rekke positive effekter, men det har samtidig vist oss at i situasjoner med tidspress og usikkerhet, kan det være vanskelig å ivareta personvern. Hva kan vi lære av to av de mest synlige personvernsakene i 2020? Og hvilke grep bør virksomheter ta i 2021?

Eksempel: Smittestopp

Korona-pandemien resulterte i at land verden over brukte store datamengder og ny teknologi for å spore smitte. I Norge utviklet Folkehelseinstituttet applikasjonen Smittestopp, som skulle spore smitte ved hjelp av Bluetooth og GPS. Over en million nordmenn lastet ned Smittestopp etter lanseringen i april. Etter mye debatt og hard kritikk i offentligheten, varslet Datatilsynet to måneder senere, om et midlertidig forbud mot innsamling av personopplysninger i appen. FHI deaktiverte appen, og slettet alle data.

Smittestopp ivaretok ikke grunnleggende krav og prinsipper i GDPR-lovgivningen. Applikasjonen ble blant annet kritisert for samtykkeløsningen, lukket kildekode og at den innhentet flere opplysninger enn det som var nødvendig.

Smittestopp var en reaksjon på krisesituasjonen. Teamet som stod for utviklingen hadde et tidspress på å levere, samtidig som de var utsatt for samme stress som resten av samfunnet. At Helseminister Bent Høie kritiserte Datatilsynets beslutning i mediene, er et tegn på at det var sterke føringer for resultatet da applikasjonen ble utviklet.

Tips: Grundig vurdering av personvernkonsekvenser

Et av de viktigste skrittene når det skal utvikles nye digitale løsninger, er vurderingen av personvernkonsekvenser for de registrerte (DPIA). For å få til en god vurdering, må ledelsen kontinuerlig jobbe en kultur som legger til rette for å få frem fordeler og ulemper, og oppmuntrer til å legge frem innvendinger og tvil. Dette er enda viktigere i krisesituasjoner hvor nettopp stress og sterke meninger om løsningen, kan øke risikoen for gruppetenking. I tillegg bør virksomheter som er avhengig av personopplysninger i sin kjernevirksomhet, ha personvern som en del av beredskaps- og kriseplanleggingen. Gode rutiner gjør det lettere å ta riktige vurderinger når krisen inntreffer.

Eksempel: Karaktersetting på IB

Et annet resultat av koronatiltakene, var algoritmen som skulle sette karakterer på elever i det internasjonale utdanningssystemet International Baccalaureat (IB). Eksamen utgjør vanligvis 80% av karakterene til elevene. For å kompensere for bortfall av eksamen, ble karakterene satt ved hjelp av en algoritme. Algoritmen baserte seg blant annet på historiske data fra hver skole, og resultatene den enkelte elev hadde fått på innleveringer. Innleveringene ville ellers utgjort 20% av vurderingsgrunnlaget.

Mange IB-elever endte opp med et langt dårligere resultat enn forventet. Flere risikerte å ikke komme inn på studiene de ønsker, og enkelte fikk ikke vitnemål.

Datatilsynet anså at IB-algoritmen ikke var i tråd med prinsippene om rettferdighet, åpenhet og riktighet i GDPR. Kritikken gikk blant annet på at datagrunnlaget ikke var egnet til å si noe om fremtidig elevprestasjon, og dermed ikke kunne å oppfylle formålet. Algoritmen ble holdt hemmelig, og elevene fikk ikke tilstrekkelig forklaring på resultatene.

Tips: Kunstig intelligens er ingen quick-fix

Strukturell urettferdighet og diskriminering, er velkjente problemer knyttet til bruk av algoritmer. Virksomheten må dokumentere at algoritmen skaper rettferdige resultater på en måte som er tilgjengelig og forståelige. Dersom virksomheten ikke har tilstrekkelig eierskap til løsningen, eller utfordringer knyttet til leverandøroppfølging, kan det fort gå galt. Her er personvernkonsekvensvurderingen igjen et viktig virkemiddel for å dokumentere vurderingene. Leverandørene kan gjerne også bidra i vurderingen.

Ved bruk av algoritmer bør virksomheten sannsynligvis ha en forhåndsdrøfting med Datatilsynet. Da kan det fort bli vanskelig å bruke algoritmer som en rask løsning i en krisesituasjon.

Godt personvern skaper tillit

Selv om fokuset ofte er på de høye gebyrene ved brudd på GDPR, kan tap av tillit også være en stor kostnad. Tillit er spesielt viktig i krisesituasjoner, spesielt for virksomheter som skal ivareta viktige samfunnsoppdrag.

Antallet brukere av den nye versjonen av Smittestopp som ble tilgjengelig før jul, er fremdeles lavere enn antallet brukere etter 24 timer ved den første lanseringen. Resultatet er nesten et år med datagrunnlag som er tapt. Med bedre vurderinger tidlig i prosessen kunne dette vært unngått.

GDPR inneholder en rekke krav som ikke bare skal bidra til å ivareta personvern til hver enkelt av oss, men også skape tillit til virksomheter som bruker våre personopplysninger.

Er det noe vi bør ta med oss fra 2020, så er det at kravene GDPR ikke bare bør vurderes som en compliance-øvelse, men heller sees på som en mulighet til å ivareta og bygge tillit i vanskelige situasjoner.

Steinar Østmoe, personvernrådgiver, Sopra Steria