Overvåkingsøkonomi i offentlig sektor:

Oppmerksomhet eller sporing – må vi velge?

Datatilsynet vil ikke ha egen Facebook-side. Betyr det at ingen offentlige aktører bør bruke verdens største sosiale medium til å kommunisere med sine målgrupper?

Av Per Steinar Moen for NTNU/ Nokios-konferansen 2021

Lær mer om dette temaet:

Vil Datatilsynets avgjørelse om å ikke bruke Facebook medvirke til holdningsendring, eller er offentlig sektor allerede for sterkt bundet til kommersielle plattformer i sin kommunikasjon med borgerne? Hvem vinner om vi stiller personvern opp mot brukerforståelse og å nå ut med budskap?

U tgangspunktet vårt var at kommunikasjonsavdelingen ønsket en side på Facebook. Vi gjorde det alle virksomheter som ønsker å bruke sosiale medier må gjøre, nemlig gjennomføre risikovurdering og for oss omfattet det også en vurdering av personvernkonsekvensene, forteller Veronica Jarnskjold Buer, avdelingsdirektør for teknologi, analyse og sikkerhet i Datatilsynet.
Arbeidet med å gjøre riskikovurdering og utrede personvernkonsekvensene munnet ut i en grundig rapport som konkluderte med Datatilsynet ikke kan bruke Facebook i eget kommunikasjonsarbeid.
– Det ble fort klart med bakgrunn i EU-dommer at vi har et felles behandlingsansvar for personvernopplysninger sammen med Facebook. Vi må kunne gi informasjon til brukerne om hva slags data vi samler inn, vi må kunne slette opplysninger og vi må kunne gi brukerne opplysning om hva data brukes videre til. Vi vet ikke hva Facebook gjør i etterkant og vi konkluderte med at vi ikke klarer å ivareta brukerens rettigheter og friheter hvis vi oppretter en Facebook-side, sier hun.
Veronica Buer Foto: Ilja Hendel
Veronica Jarnskjold Buer
fungerende avd.direktør, teknologi i Datatilsynet
Foto: Ilja Hendel

Betyr ikke nei for andre offentlige virksomheter

Buer tror fortsatt at mange offentlige aktører vil fortsette å bruke Facebook og andre sosiale medier, selv om Datatilsynets nei til Facebook førte til at blant Teknologirådet og UDI la ned sine Facebook-sider.

For Datatilsynet har det vært viktig å poengtere at alle virksomheter som ønsker å bruke Facebook som kommunikasjons- eller markedsføringskanal faktisk er pliktig til ågjøre egne vurderinger. Offentlige og private virksomheter kan bruke Facebook så lenge de mener at de kan ivareta brukernes rettigheter.

– Når du tar i bruk sosiale medier, er du ansvarlig for behandling av personvernopplysninger. Det offentlige skal være en rollemodell, påpeker Buer.

«Et demokratisk og konkurransepolitisk problem»

Facebook og andre sosiale medier har endret hvordan virksomheter kommuniserer og informerer sine målgrupper, og kan være et svært effektiv informasjonskanal. Men selv om tjenestene i seg selv er gratis, har bruken en kostnad.

Teknologirådet gav tidligere i år ut rapporten «Kommersiell sporing i offentlig sektor» hvor de advarer at «offentlig sektor bidrar i dag til at informasjon om innbyggerne samles inn og deles med de største aktørene i overvåkningsøkonomien. Dette er et demokratisk problem fordi man ikke kan velge bort overvåkningen, og et konkurransepolitisk problem fordi det styrker de digitale monopolene.» De to største aktørene, Facebook og Google, har opp mot halvparten av all verdens omsetning av digitale annonser og markedsføring.

Samtidig har personvernforordningen (GDPR) kommet som en motvekt, blant annet med ansvarlighetsprinsippet, som betyr at behandlingsansvarlig ikke bare har et ansvar for samsvar med personvernforordningen, men på den måten viser at de tar ansvar for personverndata som blir samlet inn. Å gjennomføre en risikovurdering er en del av dette ansvarlighetsprinsippet.

Mal for andre

Buer ser at mange norske virksomheter mangler kompetanse og interesse for å gjøre personvernkonsekvensvurderinger. Hun håper at rapporten Datatilsynet har laget vil være nyttig for andre virksomheter som skal gjennomføre tilsvarende risikovurderinger.

Selv om risikovurderinger og lovverk kan virke komplisert, er dette noe alle virksomheter kan – og må – gjøre.

– Vi var ikke mer enn tre personer og et Excel-ark. Datatilsynet er en forholdsvis liten organisasjon med 70 ansatte, så arbeidet vi gjorde bør være overkommelig for alle, sier hun.

Det er uansett ikke et argument at lovverk og risikovurderinger er vanskelig og tidkrevende.

– En lov gjelder for alle. Det er kjempeviktig i den digitaliserte verden at det finnes en lov som tar vare på meg og deg som borger. Når forretningsmodellen er datahøsting, trenger vi noe som står på borgernes side – og i dette tilfelle er det GDPR-lovgivningen, sier hun.

Å utvikle bransjenormer for personvern, slik som helsesektoren i stor grad har gjort, vil gjøre det enklere å navigere i problemstillingen. Men på sikt er det de store teknologiselskapene som må gjøre en kursendring.

Endringer kan bety at selskapene lisensierer teknologi og programvare, slik at eierskapet til og kontroll av personverndata kan gjøres i samsvar med reglene innen Europa.

– Egentlig ser vi lyst på fremtiden. Hvis vi i Europa i fellesskap står på barrikadene for å sikre våre borgeres personvernrettigheter, må de store teknologiselskapene gå i tenkeboksen, sier hun.