hits

januar 2017

Smarte bygg og person-opplysninger

business building
Licensed from: peus / yayimages.com


Jeg har nylig arbeidet med flere saker som omhandler kontorlokaler og personopplysninger. Mange vil lure på hva personopplysninger og personvern har å gjøre med fast eiendom. Fast eiendom dreier seg jo om kvadratmetere, vedlikehold og rengjøring. Er personopplysninger virkelig relevant for utleie av kontorlokaler? Svaret er ja.

Utleier har blitt innholdsleverandør

I tillegg til kvadratmetere, rengjøring og vedlikehold, tilbyr utleier i økende grad resepsjonstjenester, adgangskontroll, besøkendekontroll, vakttjenester etc. Utleier blir ofte en «innholdsleverandør» . Dette tar man selvfølgelig betalt for som en tjeneste, gjerne innbakt i husleien. For å videreføre eksempelet - stadig flere snakker om smarte bygg. Det kommer nå forretningsbygg som allokerer parkeringsplasser til ansatte basert på hvor mange møter de har i og utenfor kontorlokalene. Noen snakker om datasystemer som allokerer kontorplass til ansatte basert på om de har inne- eller utemøter. Mulighetene for å effektivisere og styre en arbeidsplass blir stadig flere. Alle disse tjenestene genererer personopplysninger som lagres i systemene.

Fra leietakers ståsted, må man forholde seg til at man har både ansatte og besøkende. Begge kategorier er opptatt av sitt personvern. Opplysninger om ansatte og besøkende registreres svært ofte i systemene som utleier tilbyr. Avhengig av hvor avanserte systemene er, vil et større eller mindre antall opplysninger registreres. I sum registreres i alle fall stadig flere opplysninger. Når vi tar i bruk «big data» og avansert bruksanalyse via analytics-verktøy, forsterkes behovet for kontroll.

Leietaker må stille krav

Som en naturlig konsekvens av dette må leietakere stille, og stiller i økende grad, krav til hvordan opplysningene om egne ansatte og besøkende skal behandles. Og de vil, og må, ha en oversikt over hva som skjer. Det er ikke så rart, for dette er leietaker pålagt å ha oversikt over. Både etter eksisterende lovgivning og etter de nye EU-personvernreglene.

Historisk har nok denne type IT-systemer hatt mindre fokus enn f.eks. kundelojalitetsprogrammer og helsesystemer hvor man forstår at det lagres sensitive data. Nå er det en gryende forståelse for at hvem som besøker en bestemt type bedrift, eller hvilke ansatte som kommer og går på ukurante tider, også kan være personopplysninger som har stor verdi med tilhørende risiko for misbruk.

Leietaker stiller oftere krav til at utleier gir en oversikt over hvilke systemer som brukes og hvilke underleverandører som benyttes i IKT-systemene. Det er altså viktig å ha oversikt over verdikjeden av opplysninger som man forvalter.

Det er også vanlig, pga personvernlovgivning, å stille krav til at opplysningene ikke tas ut av EU/EØS. Det siste kan være en utfordring da flere gode leverandører bruker underliggende tjenester som ligger i land nettopp utenfor EU/EØS. Som utleier må du kunne gi denne type informasjon - i tillegg til mye annen informasjon. Blant annet må man kunne vise at man har et internkontrollsystem som omfatter de aktuelle systemene.

Nytt EU-regelverk om personvernopplysninger

Fremover kommer vi til å se et langt større antall såkalte databehandleravtaler som beskriver disse ansvarsforholdene og hvordan utleierne kan opptre og behandle leietakernes informasjon. Ett element i disse avtalene vil ganske sikkert bli ansvarsfordeling og erstatningsbegrensning samt plikt til å underrette leietakere raskt dersom det skulle skje avvik. Det nye regelverket fra EU om personopplysninger tvinger dette frem.

Et beslektet område er eiendomsforvaltere som ofte har detaljert informasjon om beboere, deres særlige behov og informasjon om tvister mellom beboere.  Ved siden av at dette er strengt lovregulert, er det klart det er viktig hvordan slike data behandles - og at dette er i fokus både fra sameier og de som er beboere. Forvaltere må ha god oversikt og bli tydelige på hvor lenge hvilke personopplysninger lagres, hvem som har tilgang, hvem opplysninger deles med og hvilke underleverandører som benyttes.

Hvordan kan man anbefale et digitalt grenseforsvar i Norge?

Lysne II-rapporten anbefaler et digitalt grenseforsvar (DGF) i Norge. Anbefalingen om å innføre et DGF har utløst en offentlig debatt, og det var også noe av hovedpoenget med rapporten. Dersom regjeringen går videre med arbeidet og det kommer et lovforslag, vil det sikkert utløse en ny runde med debatt. Her går jeg inn på fakta som har vært avgjørende for meg da jeg satt i utvalget.

Generic stock photo shows a woman's hands using a laptop keyboard. PRESS ASSOCIATION Photo. Picture date: Tuesday August 6, 2013. Photo credit should read: Dominic Lipinski/PA Wire

Et digitalt Norge må ha et digitalt forsvar
Det er mange grunner til å si nei til et DGF. Etter å ha gjennomgått den teknologiske virkeligheten i Norge i dag, var det likevel til slutt ikke mulig å overse en viktig grunn til å si ja: Digitaliseringen av Norge. Digitaliseringen av Norge kommer ikke til å stoppe, tvert imot arbeides det iherdig både i privat og offentlig sektor for at den skal fortsette og forsterkes slik at vi blir mer effektive og konkurransedyktige.

Vi må ha et cyberforsvar mot ondsinnede angrep og hendelser over nettet. Slike hendelser har potensielt like stor ødeleggende og drepende effekt som tradisjonelle terrorangrep.  Det dreier seg om angrep på grunnleggende tjenester i landet som kan medføre store tap av liv, helse og også ikke minst demokrati dersom de lykkes. Hva gjelder angrep over internett er det vanskelig å tenke seg alternativer til et forsvar på nett. Spissformulert kan man si at vårt digitaliserte demokrati er avhengig av en viss overvåkning. Særlig nå.

Teknologiske forviklinger
Dersom man aksepterer at cybertrusler gjør en viss overvåkning nødvendig, må man ta stilling til hva som er teknisk mulig. Her er det noen interessante misforståelser i debatten. Flere har sagt at man ikke skal ha «bulk-lagring», men at man kanskje kan akseptere «rettede» søk eller uthenting i datastrømmen. Rett og slett fiske ut det man er interessert i og la alt annet fare forbi uten å ha tilgang til eller se på det. At ingen skal kunne se på alt. Det hadde vært fint. Problemet er bare at det ikke er teknisk mulig.

En slik datastrøm som det er tale om i disse tilfellene er komplisert, og består blant annet av en rekke tekniske metadata som ligger rundt innholdet som formidles. Disse metadataene endres ofte av tjenesteleverandørene av tekniske årsaker. For å kunne følge kommunikasjonen fra en viss app, signatur eller adresse, må man bruke metadata. For å kunne finne riktige metadata må man følge med på hvordan leverandøren «tuner» metadataene fortløpende. Det betyr at noen må kunne se de tekniske innstillingene i hele datastrømmen for å kunne justere silingskriteriene etter nye innstillinger hos leverandørene. Og da er det også mulig å se innhold dersom man skulle ønske det. Det er ikke mulig å ha en fullstendig rettet uthenting. Noen må kunne se på alt, om enn i så kort periode som overhodet mulig.

E-tjenesten skal ha honnør for å muliggjøre en veldig åpen fremstilling av hvordan slike søk skjer. Kanskje kan denne innsikten, åpne for og medvirke til at man får en litt annerledes og mer realistisk diskusjon også i andre land.  Det er lett å være enig i at en «rettet siling» hadde vært det aller beste, men når det ikke er mulig må man sørge for at innsynet er så begrenset som mulig. Det er ikke plass til å gå inn på detaljene om dette i et enkelt innlegg, men rapporten anbefaler at bulk-tilgangen er svært snever med høy grad av tidsbegrensning og ekstern kontroll.

Demokrati og chilling effect
Samtidig må man ta inn over seg at overvåkning kan medføre det mange kaller en chilling effect, altså at personer justerer sin adferd på nettet med en mulig konsekvens at demokratiet ikke får en like fri diskusjon. Det er negativt. Foreløpig er det vanskelig å anslå omfanget av en chilling effect, fordi det ikke er mange undersøkelser på området. Flere av undersøkelsene som finnes viser ikke de helt store utslagene. Men det forskes på dette og det er bra. Uansett, i lys av nyhetene som nå kommer om påvirkning av presidentvalget i USA, må man også innse at fravær av digital kontroll også kan ha en negativ konsekvens for demokratiet. Demokrati og fri meningsutveksling, frie valg, er det viktigste vi har. 

Et argument som stadig kommer opp i DGF-debattene er at faren for terror øker. Noe statistikk viser at det faktisk dør færre i Vest-Europa på grunn av terror nå enn i slutten på forrige århundre. Dette må isolert sett være et sterkt argument mot DGF og all annen overvåkning. Det er mulig å stanse diskusjonen om terror der og si at intet DGF kan vurderes før dagens situasjon er langt verre enn hva den var før. Men, skal man se en sak fra flere sider, så er det grunn til bekymre seg over at tallene på drepte i Vest-Europa nå stiger ganske mye og at arten av terror som nå sees er annerledes enn i forrige århundre. Jeg tror det blir feil å se helt bort fra at også ikke cyber-basert terror kan motvirkes og oppklares ved et DGF såfremt det settes stramme grenser for hvordan, slik vi har foreslått.

Noen debattanter har antydet at utvalget mener at DGF bør tillates fordi lignende systemer finnes i land rundt oss. Det er naturligvis ikke slik at fordi andre land har overvåkningsregimer, må Norge ha det. Men andre lands overvåkningsregimer rammer intern-norsk kommunikasjon. Det er ikke alle som er klar over dette. Om man sender en mail fra en adresse i Norge til en adresse i Norge, så vil den svært ofte fanges opp av utenlandsk etterretning likevel fordi den rutes gjennom land som har slik overvåkning. Det betyr at norske borgeres kommunikasjon ikke er særlig mye mindre overvåket om Norge ikke har en egen kontroll. For meg er dette ikke noe argument i noen retning - bortsett fra at det er relativt naivt å tro at vi ikke blir overvåket om Norge unnlater å innføre DGF. En annen ting er at det er relevant i forhold til studier av chilling effect - fordi vår intern-norske kommunikasjon er allerede overvåket av andre land. Chilling effect er vel ikke bare interessant i forhold til hva som skjer hos norske myndigheter.

Hva er alternativene?
Da vi skulle utarbeide vår anbefaling i utvalget, så vi også på hva alternativene til et DGF er. Noen av de som nå debatterer har sagt at det ikke er deres ansvar å ta stilling til alternativer. Det er lite ansvarlig. Dersom vi ikke har et grenseforsvar, må norske bedrifter og offentlige virksomheter forsvare seg på en annen måte mot cyberangrep. Kanskje ved hjelp av flere private aktører eller ved å legge tilsvarende funksjoner til andre offentlige myndigheter. Det er langt fra sikkert at en slik løsning gir bedre kontroll og mindre overvåkning, mindre chilling effect eller mindre fare for formålsutglidning.

Nye dommer
Til slutt noen ord om de nye dommene om menneskerettigheter og overvåkning. Det er flere av dem, og det vil komme enda flere. I debatten sammenligner noen DGF med Datalagringsdirektivet (DLD). Det blir feil. Det DGF som er foreslått er vesensforskjellig fra DLD. Det er også vesensforskjellig fra de overvåkningsregimer som praktiseres i andre land i Europa og som vil bli prøvet for retten fremover.

Åpenheten fra E-tjenesten rundt hvordan DGF kan settes opp er imponerende. Sikkerhetstiltakene rundt det DGF vi har foreslått er mye sterkere enn hva vi er kjent med finnes noe annet sted. Hva DGF skal kunne brukes til er svært snevert og snevrere enn noe sammenlignbart land. Lovteksten et DGF skal bygge på er ikke skrevet, og kan skrives så konkret at selv om faren for formålsutglidning ikke kan fjernes, så kan den gjøres liten ved hjelp av god lovteknikk. Uansett er hva som vil bli akseptert av en menneskerettighetsdomstol et sammensatt og komplisert spørsmål. Jeg vil mene at det ikke er opplagt at dommene så langt forhindrer enhver form for et DGF og jeg blir jo litt overrasket når noen debattanter er skråsikre på at det ikke kan skje. Av og til kan man lure på om også dommerne har forstått det teknologiske faktum. Har domstolen i Tele2-avgjørelsen forstått om det teknologisk sett er mulig å programmere rettede søk uten å la programmererne studere hvordan de dataene det skal søkes i ser ut?