Bjørn Erik Thon, direktør Datatilsynet. Pressefoto: Åsa Mikkelsen/Datatilsynet
Bjørn Erik Thon, direktør Datatilsynet. Pressefoto: Åsa Mikkelsen/Datatilsynet

Hva gjør vi når lengden på en fengselsstraff ikke avgjøres av et menneske, men en maskin?

Bjørn Erik Thon, direktør i Datatilsynet.

All behandling av data skal være lovlig, rettferdig og gjennomsiktig, og bygge på et ansvarlighetsprinsipp. Dette er mer enn fine ord.

Den 25. mai 2018
blir et tidsskille
for personvernet,
da trer
nemlig EUs
personvernforordning i kraft.

Dagens regelverk, som stammer
fra før google, er klar for å takkes
av for tro, om enn ikke særlig
lang tjeneste.

Det nye regelverket er drevet
frem av det teknologiskiftet vi har
sett de siste ti årene – en utvikling
vi bare har sett starten på. Kombinasjonen
av algoritmer og kunstig
intelligens gjør det nødvendig
å tenke personvern på nye måter.

For hva gjør vi når forsikringsprisen,
kredittvurderingen, renten
på lånet, utfallet av søknaden
om uføretrygd, lengden på en
fengselsstraff eller spørsmålet om
en prøveløslatelse ikke avgjøres av
et menneske, men en maskin?

La din stemme bli hørt: Hvis du ønsker å få din mening publisert hos oss, kan du sende debattinnlegg og kronikker på e-post til: [email protected]

Det er to hovedelementer
i forordningen: Virksomhetens
plikter skjerpes, og borgernes eller
forbrukernes rettigheter styrkes.
I tillegg får Datatilsynet flere
nye verktøy for å sikre etterlevelse
av loven.

La oss se på virksomhetenes
plikter først. All behandling av
data skal være lovlig, rettferdig
og gjennomsiktig, og bygge på et
ansvarlighetsprinsipp. Dette er
mer enn fine ord. Det innebærer
blant annet en plikt til å utrede
konsekvensene for personvernet
dersom det gjennomføres en
behandling som medfører høy
risiko, særlig dersom det tas i bruk
ny teknologi.

Personvernet skal
i størst mulig grad bygges inn
i teknologien etter prinsippene for
innebygd personvern, for
eksempel skal man designe tekniske
løsninger som sikrer at prinsippene
for dataminimalisering
følges.

Flere virksomheter må
opprette personvernombud, og det
må i større grad enn i dag rapporteres
avvik til Datatilsynet.

På rettighetssiden
er særlig
prinsippet om
dataportabilitet
spennende. Det
betyr at forbrukeren
kan kreve å få
dataene sine flyttet
fra et selskap
til et annet.

Dersom
man for
eksempel er
misfornøyd med
måten et forsikringsselskap
behandler personopplysningene
på, eller man
er misfor nøyd med prisen, kan
man kreve å få med seg dataene til
et nytt selskap.

Dette vil skjerpe
konkurransen, styrke forbrukerrettighetene
og gi en helt ny dynamikk
i mange markeder. I tillegg
får borgerne større rett til å motsette
seg profilering og større rett
til å slette data.

I sum skal dette bidra til å rebalansere
et maktforhold som har
tippet alt for langt i favør av virksomhetene,
og sikre etterlevelse av
prinsippet om ansvarlig databehandling.

I tillegg kommer nye
virkemidler for Datatilsynet. Det
er mye snakk om overtredelsesgebyrer,
som øker fra dagens maks
på 10G, til maks fire prosent av
omsetningen. Vel så viktig er at vi
skal jobbe for flere bransjenormer,
som ansvarliggjør virksomhetene
og sikrer en arena for god dialog.

Vi vil også jobbe aktivt for å fremme
prinsippene for innebygd personvern.
Og ikke minst skal vi
fortsette å gjennomføre
målrettede,
risikobaserte
tilsyn.


Kort sagt:
Datatilsynet skal
både være en
samarbeidspartner
for virksomhetene
og et aktivt
tilsynsorgan,
og vi skal sørge
for at de nye forbrukerrettighetene
ivaretas.

For å si det med Ted
Roosevelts ord: Speak with a soft
voice and carry a big stick, and we
will go far.