Amnesty International i Norge takker Personvernkommisjonen for denne gode utredningen. Vi lever i en tid med helt nye utfordringer for retten til privatliv. Denne utredningen er et svært viktig dokument som vi håper vil bli referansepunkt i årene fremover. Retten til privatliv er, som også kommisjonen peker på, en rettighet som ligger til grunn for at mange andre menneskerettigheter skal bli innfridd. Vi mener at Personvernkommisjonen kommer med en rekke gode forslag som vi anmoder regjeringen om å følge.
Våre hovedanbefalinger kan oppsummeres slik:
Våre hovedanbefalinger kan oppsummeres slik:
2. Kapittel 6, Personvern i den digitale forvaltningen
Enhver innsamling, håndtering og deling av persondata foretatt av offentlige organer, uten uttrykkelig og informert samtykke fra den berørte, er et inngrep i menneskeretten til privatliv. En slik handling er bare tillatt når den har hjemmel i lov, er nødvendig for å oppnå et legitimt formål (f.eks. å ivareta andre menneskerettigheter, samfunnets sikkerhet eller helse) og forholdsmessig.
I vårt moderne samfunn er innsamling og håndtering av persondata helt uunnværlig for at det offentlige skal kunne ivareta menneskerettighetene (alt fra sikkerhet og demokratisk deltakelse til helse, sosial trygghet og utdanning) på best mulig måte. For allikevel å sikre at retten til privatliv ikke brytes, må en etterstrebe å minimere mengden av data som samles inn og håndteres, begrense hvem som har adgang til dataene til det som er strengt nødvendig, og sørge for at enkeltpersoner har størst mulig oversikt og kontroll over hva slags data som samles inn om dem, hvordan de brukes og hvem de deles med.
Håndtering av persondata i tråd med menneskerettighetene forutsetter både god kompetanse og bevissthet hos offentlige organer, i tillegg til gode mekanismer for kontroll og ansvarliggjøring, samt reelle, lett tilgjengelige klagemuligheter.
I vårt moderne samfunn er innsamling og håndtering av persondata helt uunnværlig for at det offentlige skal kunne ivareta menneskerettighetene (alt fra sikkerhet og demokratisk deltakelse til helse, sosial trygghet og utdanning) på best mulig måte. For allikevel å sikre at retten til privatliv ikke brytes, må en etterstrebe å minimere mengden av data som samles inn og håndteres, begrense hvem som har adgang til dataene til det som er strengt nødvendig, og sørge for at enkeltpersoner har størst mulig oversikt og kontroll over hva slags data som samles inn om dem, hvordan de brukes og hvem de deles med.
Håndtering av persondata i tråd med menneskerettighetene forutsetter både god kompetanse og bevissthet hos offentlige organer, i tillegg til gode mekanismer for kontroll og ansvarliggjøring, samt reelle, lett tilgjengelige klagemuligheter.
Inngrep i retten til privatliv går ut over tilliten
Den høye tilliten den norske befolkningen har til offentlige organer er et viktig grunnlag for et velfungerende samfunn. Holdningen om at «her i Norge stoler vi på hverandre» kan imidlertid fort bli en utfordring når det fører til at offentlige organer, og politiske beslutningstakere, tar for lett på formelle begrensninger. Inngrep i retten til privatliv uten at det er nødvendig og forholdsmessig er et brudd på menneskerettighetene, selv om den ansvarlige ikke hadde onde hensikter. En kultur der det offentlige tar lett på personvern fordi man ikke tror at folk vil bekymre seg for det, muliggjør overtramp som vil svekke tilliten man har bygd opp. Tillitstapet vil komme først og veie tyngst hos grupper som er eller oppfatter seg selv som spesielt sårbare for diskriminering.
Deling av personopplysninger mellom forvaltningsorganer
Som Personvernkommisjonen påpeker, er det et uttrykkelig mål i regjeringens digitaliseringsstrategi å forbedre deling av personopplysninger på tvers av forvaltningsorganer. Det er lett å se at slik deling ikke bare vil føre til bedre tjenester, men også gjøre den enkeltes møte med det offentlige enklere. Samtidig gjør deling av opplysninger på tvers av organene det vanskeligere for enkeltpersoner å ha oversikt over hvordan deres personopplysninger brukes, og enda vanskeligere å ha noen form for kontroll over det. I tillegg kan slik deling virke mot målet om dataminimering, gjøre det vanskeligere å sikre at offentlige organer bare får adgang til private opplysninger i den grad det er strengt nødvendig og forholdsmessig, og øke faren for – bevisst eller ubevisst – misbruk.
Deling av personopplysninger og automatisering av data kan fremstå som spesielt nyttig for å forbedre oppfølgingen av personer med spesielle behov, for eksempel i helsevesen, eldreomsorg eller barnevern. Samtidig kan de samme personene også være spesielt sårbare for overtramp og oppleve det som spesielt krevende å forsvare sine rettigheter.
Deling av personopplysninger og automatisering av data kan fremstå som spesielt nyttig for å forbedre oppfølgingen av personer med spesielle behov, for eksempel i helsevesen, eldreomsorg eller barnevern. Samtidig kan de samme personene også være spesielt sårbare for overtramp og oppleve det som spesielt krevende å forsvare sine rettigheter.
Helhetlig vurdering
Alle statlige tiltak bør ha som overordnet mål å ivareta menneskerettighetene på best mulig måte og samtidig unngå at enkelte menneskerettigheter krenkes. Dette er et sentralt ansvar for forvaltingen og politiske beslutningstakere som ikke kan overlates til ikke-statlige aktører i forskning eller næringsliv. Mens det er ekspertenes oppgave å finne de beste løsningene for konkrete problemer, må myndighetene ha et blikk for helheten og forsikre seg om at gode løsninger for ett problem ikke påfører uforholdsmessig skade et annet sted.
Det kan være fristende for politiske beslutningstakere å prioritere raske digitale løsninger for presserende samfunnsutfordringer, og se på hensyn til retten til privatliv, rettssikkerhet, ikke-diskriminering og andre menneskerettigheter mer som en irriterende hindring enn en helt sentral del av jobben de skal gjøre. Amnesty deler Personvernkommisjonens bekymring over at regulering av inngrep i personvern ofte er fragmentert og sektorspesifikt, mens det mangler en helhetlig personvernpolitikk og en grunnleggende offentlig debatt om hvilke verdier og prinsipper som skal ligge til grunn for den. Vi er også enig i at Stortinget burde få en mye større rolle i å definere grensene for hvilke inngrep i privatlivet som er akseptable.
Det kan være fristende for politiske beslutningstakere å prioritere raske digitale løsninger for presserende samfunnsutfordringer, og se på hensyn til retten til privatliv, rettssikkerhet, ikke-diskriminering og andre menneskerettigheter mer som en irriterende hindring enn en helt sentral del av jobben de skal gjøre. Amnesty deler Personvernkommisjonens bekymring over at regulering av inngrep i personvern ofte er fragmentert og sektorspesifikt, mens det mangler en helhetlig personvernpolitikk og en grunnleggende offentlig debatt om hvilke verdier og prinsipper som skal ligge til grunn for den. Vi er også enig i at Stortinget burde få en mye større rolle i å definere grensene for hvilke inngrep i privatlivet som er akseptable.
Regulering på europeisk nivå
I europeisk sammenheng har EU blitt den viktigste aktøren for å regulere digitale verktøy og tjenester på en måte som ivaretar retten til privatliv og andre menneskerettigheter. EUs personvernforordning (GDPR) spiller allerede en helt sentral rolle for personvernet i Norge. EU-forordningen om digitale tjenester (DSA) vil tre i kraft antakeligvis i 2024, mens en EU-forordning som regulerer bruk av kunstig intelligens (AI Act) er i utarbeidelse. Disse bestemmelsene vil – enten direkte eller indirekte – ha grunnleggende betydning for hvordan retten til privatliv ivaretas i Norge i fremtiden.
Det at EU spiller en så dominerende rolle i Europa på dette området har mange fordeler, siden EU har både autoritet som lovgiver og mulighet til å reagere på lovbrudd med sanksjoner. Det er imidlertid en utfordring at vernet om menneskerettigheter overlates i så stor grad til en institusjon som har som sitt øverste formål å fremme økonomisk samarbeid, mens Europarådet, som har som sin fremste oppgave å beskytte menneskerettighetene i Europa, kommer mer og mer i skyggen. Norge bør bruke sin stemme overfor EU aktivt for å sikre at EUs lover og regler ivaretar menneskerettighetene på best mulig måte, og samtidig arbeide for at Europarådet får en viktigere rolle.
Det at EU spiller en så dominerende rolle i Europa på dette området har mange fordeler, siden EU har både autoritet som lovgiver og mulighet til å reagere på lovbrudd med sanksjoner. Det er imidlertid en utfordring at vernet om menneskerettigheter overlates i så stor grad til en institusjon som har som sitt øverste formål å fremme økonomisk samarbeid, mens Europarådet, som har som sin fremste oppgave å beskytte menneskerettighetene i Europa, kommer mer og mer i skyggen. Norge bør bruke sin stemme overfor EU aktivt for å sikre at EUs lover og regler ivaretar menneskerettighetene på best mulig måte, og samtidig arbeide for at Europarådet får en viktigere rolle.
Kunstig intelligens
Kunstig intelligens spiller en stadig viktigere rolle i å gjøre offentlige tjenester bedre og mer effektive, og kan bidra til at menneskerettigheter som retten til helse, sosial trygghet, sikkerhet og mye annet blir bedre ivaretatt. Når offentlige instanser helt eller delvis baserer beslutninger på automatiserte konklusjoner som er for komplekse for å kunne bli fullt forstått, medfører det imidlertid også alvorlige menneskerettslige risikoer.
Det er et grunnleggende krav for et fungerende demokrati og en fungerende rettsstat at myndighetenes handlinger og beslutninger må være vel begrunnet, forståelige og objektive, og at de må kunne påklages. Handler offentlige organer i strid med grunnleggende rettigheter, må det ha konsekvenser – gjennom ansvarliggjøring, men enda viktigere ved at årsaken for feilen blir identifisert og rettet opp.
Antakelsen at beslutninger tatt av datasystemer automatisk er objektive og ikke diskriminerende bygger på en misforståelse om at diskriminering som oftest skjer som en villet handling. Som Personvernkommisjonen viser til, kan det være mange årsaker til at automatiserte beslutningsprosesser fører til diskriminering og andre menneskerettighetsbrudd. Premisset at en datamaskin aldri tar feil kan fort føre til at slike overtramp ikke blir oppdaget. I tillegg kan det bli svært vanskelig for en fornærmet å motbevise en algoritme som de som skal avgjøre saken selv ikke fullt forstår.
Sånn sett betyr også forskjellen mellom rettslige beslutningssystemer og rettslige beslutningsstøttesystemer mindre enn det kan se ut som. Det må mye til for at en embetsperson betviler konklusjoner basert på kunstig intelligens, og enda mer for at vedkommende skal kunne overbevise sine overordnete om at datasystemet tar feil.
Amnesty mener at beslutninger som berører enkeltpersoners menneskerettigheter ikke må bli basert på algoritmer uten at grunnlaget for beslutningen er fullt forståelig og etterprøvbar.
Når det offentlige anskaffer systemer basert på kunstig intelligens eller andre algoritmebaserte løsninger, må det stilles krav til leverandørene om at gjennomsiktighet av beslutningsprosessen må være innebygget i systemet . I tillegg må krav om hensyn til personvern, rettssikkerhet, ytringsfrihet og andre menneskerettigheter være en uunnværlig del av bestillingen , og før systemet tas i bruk må en forsikre seg at dette er på plass.
Alle som benytter seg av kunstig intelligens eller andre algoritmebaserte systemer i det offentlige bør ha tilstrekkelig kompetanse og bevissthet for ikke å stole blindt på systemene, og de bør oppmuntres til å utøve fornuftig skepsis.
Det er et grunnleggende krav for et fungerende demokrati og en fungerende rettsstat at myndighetenes handlinger og beslutninger må være vel begrunnet, forståelige og objektive, og at de må kunne påklages. Handler offentlige organer i strid med grunnleggende rettigheter, må det ha konsekvenser – gjennom ansvarliggjøring, men enda viktigere ved at årsaken for feilen blir identifisert og rettet opp.
Antakelsen at beslutninger tatt av datasystemer automatisk er objektive og ikke diskriminerende bygger på en misforståelse om at diskriminering som oftest skjer som en villet handling. Som Personvernkommisjonen viser til, kan det være mange årsaker til at automatiserte beslutningsprosesser fører til diskriminering og andre menneskerettighetsbrudd. Premisset at en datamaskin aldri tar feil kan fort føre til at slike overtramp ikke blir oppdaget. I tillegg kan det bli svært vanskelig for en fornærmet å motbevise en algoritme som de som skal avgjøre saken selv ikke fullt forstår.
Sånn sett betyr også forskjellen mellom rettslige beslutningssystemer og rettslige beslutningsstøttesystemer mindre enn det kan se ut som. Det må mye til for at en embetsperson betviler konklusjoner basert på kunstig intelligens, og enda mer for at vedkommende skal kunne overbevise sine overordnete om at datasystemet tar feil.
Amnesty mener at beslutninger som berører enkeltpersoners menneskerettigheter ikke må bli basert på algoritmer uten at grunnlaget for beslutningen er fullt forståelig og etterprøvbar.
Når det offentlige anskaffer systemer basert på kunstig intelligens eller andre algoritmebaserte løsninger, må det stilles krav til leverandørene om at gjennomsiktighet av beslutningsprosessen må være innebygget i systemet . I tillegg må krav om hensyn til personvern, rettssikkerhet, ytringsfrihet og andre menneskerettigheter være en uunnværlig del av bestillingen , og før systemet tas i bruk må en forsikre seg at dette er på plass.
Alle som benytter seg av kunstig intelligens eller andre algoritmebaserte systemer i det offentlige bør ha tilstrekkelig kompetanse og bevissthet for ikke å stole blindt på systemene, og de bør oppmuntres til å utøve fornuftig skepsis.
I justissektoren er strenge menneskerettslige begrensninger ekstra viktige
Mens prinsippet om at alle inngrep i retten til privatliv og andre menneskerettigheter må være hjemlet i lov, nødvendige og forholdsmessige, er grunnleggende for alt offentlige instanser foretar seg, veier det ekstra tungt der individet møter politiet og justissystemet. Uten tydelige, strenge og overprøvbare menneskerettslige begrensninger for statens bruk av tvangsmidler og lignende inngrep, er det umulig å opprettholde en fungerende rettsstat og et tillitsbasert demokrati.
I all hovedsak er bruk av tvangsmidler i Norge underlagt streng kontroll – og som regel forhåndsgodkjenning – gjennom uavhengige domstoler. Dette prinsippet beskytter ikke bare enkeltpersoner mot overgrep, men hjelper også tjenestepersoner med å unngå ulovlig maktbruk og bidrar til tillit mellom politiet og borgerne. Amnesty oppfordrer norske myndigheter til å sikre at domstolskontroll over politiets maktmiddelbruk ikke svekkes.
I all hovedsak er bruk av tvangsmidler i Norge underlagt streng kontroll – og som regel forhåndsgodkjenning – gjennom uavhengige domstoler. Dette prinsippet beskytter ikke bare enkeltpersoner mot overgrep, men hjelper også tjenestepersoner med å unngå ulovlig maktbruk og bidrar til tillit mellom politiet og borgerne. Amnesty oppfordrer norske myndigheter til å sikre at domstolskontroll over politiets maktmiddelbruk ikke svekkes.
Biometrisk fjernidentifisering
For å kunne ivareta samfunnssikkerhet på best mulig måte, er det nødvendig at politiet kan benytte seg av moderne virkemidler. Digitalisering og ny teknologi som f.eks. kunstig intelligens skaper imidlertid også nye farer for bevisst eller ubevisst maktmisbruk og andre overtramp, og menneskerettighetsvernet må hele tiden oppdateres i takt med utviklingen.
Digitalisering skaper utfordringer for menneskerettighetene, ikke bare fordi den utvikler seg så raskt at tiltak for å begrense skadene fort kan henge etter, men også fordi mye av det som skjer i digitale systemer er lite gjennomsiktig og vanskelig å overskue for politiske beslutningstakere og domstoler. Derfor er det ekstra viktig å sette tydelige grenser for å redusere faren for unødvendige og uforholdsmessige inngrep i grunnleggende rettigheter.
Amnesty oppfordrer norske myndigheter til å forby bruk av biometrisk fjernidentifisering (som for eksempel ansiktsgjenkjenning) som muliggjør masseovervåking og diskriminerende målrettet overvåking. Masseovervåkning gjennom ansiktsgjenkjenning eller andre former for biometrisk fjernidentifisering krenker menneskers rett til privatliv vilkårlig, og er dermed i sin natur uforholdsmessig. Biometrisk fjernidentifisering øker også faren for diskriminering og svekker rettssikkerheten. I tillegg er det en reell fare for at vissheten om at politiet kan kartlegge alle personer som har vært på et bestemt sted til et bestemt tidspunkt og bruke denne informasjonen mot dem i etterkant, vil hindre mennesker i å delta i lovlige forsamlinger og arrangementer og dermed undergrave ytrings- og forsamlingsfriheten («nedkjølingseffekt»).
Under arbeidet med EU-forordningen om kunstig intelligens («AI Act») blir det diskutert om biometrisk fjernidentifisering bare skal forbys i sanntid og ikke i etterkant. Amnesty advarer mot å lage et slikt kunstig skille. Retten til privatliv brytes allerede når overvåkningsdata samles inn , ikke først når de brukes. Heller ikke de andre menneskerettslige farene – inkludert nedkjølingseffekt – vil bli mindre av at informasjon som har kommet frem gjennom masseovervåkning først brukes i etterkant.
Digitalisering skaper utfordringer for menneskerettighetene, ikke bare fordi den utvikler seg så raskt at tiltak for å begrense skadene fort kan henge etter, men også fordi mye av det som skjer i digitale systemer er lite gjennomsiktig og vanskelig å overskue for politiske beslutningstakere og domstoler. Derfor er det ekstra viktig å sette tydelige grenser for å redusere faren for unødvendige og uforholdsmessige inngrep i grunnleggende rettigheter.
Amnesty oppfordrer norske myndigheter til å forby bruk av biometrisk fjernidentifisering (som for eksempel ansiktsgjenkjenning) som muliggjør masseovervåking og diskriminerende målrettet overvåking. Masseovervåkning gjennom ansiktsgjenkjenning eller andre former for biometrisk fjernidentifisering krenker menneskers rett til privatliv vilkårlig, og er dermed i sin natur uforholdsmessig. Biometrisk fjernidentifisering øker også faren for diskriminering og svekker rettssikkerheten. I tillegg er det en reell fare for at vissheten om at politiet kan kartlegge alle personer som har vært på et bestemt sted til et bestemt tidspunkt og bruke denne informasjonen mot dem i etterkant, vil hindre mennesker i å delta i lovlige forsamlinger og arrangementer og dermed undergrave ytrings- og forsamlingsfriheten («nedkjølingseffekt»).
Under arbeidet med EU-forordningen om kunstig intelligens («AI Act») blir det diskutert om biometrisk fjernidentifisering bare skal forbys i sanntid og ikke i etterkant. Amnesty advarer mot å lage et slikt kunstig skille. Retten til privatliv brytes allerede når overvåkningsdata samles inn , ikke først når de brukes. Heller ikke de andre menneskerettslige farene – inkludert nedkjølingseffekt – vil bli mindre av at informasjon som har kommet frem gjennom masseovervåkning først brukes i etterkant.
4. Kap. 8, Digitalisering av skolen og barns personvern
Amnesty deler Personvernkommisjonens bekymring for at digitaliseringen av skolen og barnehagesektoren har skjedd på bekostning av barns og unges personvern , og støtter at dette krever snarlig handling. Amnesty mener det er særlig problematisk at når barn blir utsatt for verktøy og tjenester i disse sammenhengene har de ingen reell mulighet til å samtykke. At barns persondata samles inn gjennom slike verktøy er ikke i tråd med barns rett til privatliv, og gjør dem sårbare for kommersiell utnytting og press. Derfor støtter vi personvernkommisjonen i at det må innføres strakstiltak som kan begrense den kommersielle utnyttelsen av elevenes personopplysninger .
Hvis skolen bruker tjenester fra globale kommersielle aktører uten at myndighetene har kontroll over personvernet, undergraver det alternative leverandører som har mer personvernvennlige tjenester. Her må det offentlige bruke sin betydelige innkjøpsmakt. Vi støtter også kommisjonens argumentasjon om at den enkelte kommune ikke kan forventes å ha kompetanse på dette. Her trengs det retningslinjer fra nasjonale myndigheter som kan sikre barns personvern og øvrige rettigheter i møte med teknologigigantenes kommersielle interesser.
Hvis skolen bruker tjenester fra globale kommersielle aktører uten at myndighetene har kontroll over personvernet, undergraver det alternative leverandører som har mer personvernvennlige tjenester. Her må det offentlige bruke sin betydelige innkjøpsmakt. Vi støtter også kommisjonens argumentasjon om at den enkelte kommune ikke kan forventes å ha kompetanse på dette. Her trengs det retningslinjer fra nasjonale myndigheter som kan sikre barns personvern og øvrige rettigheter i møte med teknologigigantenes kommersielle interesser.
5. Kap. 9, Forbrukeres personvern på sosiale medier og digitale plattformer
I kapittel 9 drøfter kommisjonen forbrukeres personvern i det digitale rom. Amnesty deler Personvernkommisjonens analyse om at innsamling av personopplysninger til kommersielle formål skaper betydelig personvernutfordringer. Dette er grunnsteinen i forretningsmodellen til mange av de største digitale kommersielle aktørene, som Meta, Google og Tiktok. (Se også Amnestys rapport “ Surveillance giants: How the business model of Google and Facebook threatens human rights” fra 2019.)
Her vil vi også vise til Ytringsfrihetskommisjonen, som tar opp spørsmålet om hvorvidt de digitale plattformene har blitt til grunnleggende digital infrastruktur og også bør reguleres deretter . Vi mener bestemt at de skal det. Adgang til tjenester som er blitt helt grunnleggende for å kunne delta i samfunnet kan ikke bare bli styrt av interessene til profittorienterte private selskaper. Dette understreker behovet for regulering.
Den nye EU-forordningen om digitale tjenester (DSA) er et viktig steg i riktig retning i så måte, men mye vil være avhengig av hvordan den blir integrert i norsk lov og fulgt opp. Norske myndigheter må sørge for at forordningene blir gjennomført i Norge på en måte som sikrer at norske brukere av digitale plattformer beskyttes mot datagigantenes overvåkningsbaserte forretningsmodell. Utover det som allerede ligger i DSA bør Norge innføre et forbud mot målrettet markedsføring som baserer seg på overvåking og kartlegging av brukernes interesser og atferd på digitale plattformer – atferdsbasert markedsføring. Vi støtter altså flertallet i Personvernkommisjonens ønske om å utrede et forbud. Vi viser også til at Stortinget har pålagt regjeringen å utrede muligheten for et slikt forbud innenfor DSA (vedtak 196).
Personvernkommisjonen trekker også frem at det er umulig å få oversikt over hvordan datagigantene bruker opplysningene de samler inn, og at dette er særlig problematisk med tanke på barn. Manglende innsyn er også et problem når det gjelder algoritmene som bestemmer hva slags innhold vi får se på sosiale medier. DSA peker på behovet for økt innsyn i hvordan de fungerer. Dokumentene som ble lekket gjennom Facebook Files, som varsleren Frances Haugen stod for høsten 2021, pekte mot at algoritmene prioriterer særlig engasjerende innhold, som gjør at det politisk ekstreme, netthets og konspirasjonsteorier får økt drahjelp. Amnesty mener at i tillegg til økt åpenhet rundt algoritmene trenger vi en offentlig instans som kan føre tilsyn med dem – et algoritmetilsyn . Dette kan for eksempel legges til Datatilsynet.
Vi vil berømme kommisjonen for å trekke frem at Norge som investor har en unik mulighet til å påvirke globale teknologiselskaper gjennom Oljefondets betydelige andel i teknologigigantene. Vi støtter anbefalingen at Norges Bank Investment Management (NBIM) bør bruke sin innflytelse som medeier i plattformselskapene og utforme personvernkrav i investeringsstrategien. Her vil vi også vise til at plattformselskapene har et selvstendig ansvar for å respektere menneskerettighetene i henhold til FNs veiledende prinsipper for menneskerettigheter og næringsliv (UNGP).
Her vil vi også vise til Ytringsfrihetskommisjonen, som tar opp spørsmålet om hvorvidt de digitale plattformene har blitt til grunnleggende digital infrastruktur og også bør reguleres deretter . Vi mener bestemt at de skal det. Adgang til tjenester som er blitt helt grunnleggende for å kunne delta i samfunnet kan ikke bare bli styrt av interessene til profittorienterte private selskaper. Dette understreker behovet for regulering.
Den nye EU-forordningen om digitale tjenester (DSA) er et viktig steg i riktig retning i så måte, men mye vil være avhengig av hvordan den blir integrert i norsk lov og fulgt opp. Norske myndigheter må sørge for at forordningene blir gjennomført i Norge på en måte som sikrer at norske brukere av digitale plattformer beskyttes mot datagigantenes overvåkningsbaserte forretningsmodell. Utover det som allerede ligger i DSA bør Norge innføre et forbud mot målrettet markedsføring som baserer seg på overvåking og kartlegging av brukernes interesser og atferd på digitale plattformer – atferdsbasert markedsføring. Vi støtter altså flertallet i Personvernkommisjonens ønske om å utrede et forbud. Vi viser også til at Stortinget har pålagt regjeringen å utrede muligheten for et slikt forbud innenfor DSA (vedtak 196).
Personvernkommisjonen trekker også frem at det er umulig å få oversikt over hvordan datagigantene bruker opplysningene de samler inn, og at dette er særlig problematisk med tanke på barn. Manglende innsyn er også et problem når det gjelder algoritmene som bestemmer hva slags innhold vi får se på sosiale medier. DSA peker på behovet for økt innsyn i hvordan de fungerer. Dokumentene som ble lekket gjennom Facebook Files, som varsleren Frances Haugen stod for høsten 2021, pekte mot at algoritmene prioriterer særlig engasjerende innhold, som gjør at det politisk ekstreme, netthets og konspirasjonsteorier får økt drahjelp. Amnesty mener at i tillegg til økt åpenhet rundt algoritmene trenger vi en offentlig instans som kan føre tilsyn med dem – et algoritmetilsyn . Dette kan for eksempel legges til Datatilsynet.
Vi vil berømme kommisjonen for å trekke frem at Norge som investor har en unik mulighet til å påvirke globale teknologiselskaper gjennom Oljefondets betydelige andel i teknologigigantene. Vi støtter anbefalingen at Norges Bank Investment Management (NBIM) bør bruke sin innflytelse som medeier i plattformselskapene og utforme personvernkrav i investeringsstrategien. Her vil vi også vise til at plattformselskapene har et selvstendig ansvar for å respektere menneskerettighetene i henhold til FNs veiledende prinsipper for menneskerettigheter og næringsliv (UNGP).
6. Kap. 13, Tilsynsmyndighetene
Datatilsynet har i dag for lite ressurser til å håndtere de store personvernutfordringene samfunnet har. Amnesty anbefaler at Datatilsynet styrkes. Vi mener også at det er en fordel å ha Datatilsynet som den institusjonen der både kompetansen og autoriteten til å sanksjonere samles, istedenfor å fragmentere ansvaret ved å spre det over flere tilsyn. I tillegg til Datatilsynets formelle ansvar bør også Norges institusjon for menneskerettigheter styrkes for å kunne foreta de nødvendige menneskerettslige vurderingene knyttet til den raskt økende digitaliseringen som påvirker alle aspekter av menneskers liv.