Tirsdag 1. november behandler Justiskomiteen Venstres representantforslag om «Bedre personvern i sosiale medier». I lys av vårt krav om forbud mot kommersiell overvåkning har vi skrevet et høringsinnspill til komiteen. Vi støtter intensjonen i forslaget, men uten et kraftig styrket Datatilsyn for å håndheve det kommer vi ikke så langt.
Attac Norges innspill til høringen:
Forslaget består av i alt syv forslag om digitalt personvern og markedsdominansen til de store teknologiselskapene. Vi setter pris på at denne saken tas opp til politisk behandling på Stortinget og støtter retningen i forslagene, men vil likevel legge til kommentarer til de ulike punktene.
I tillegg til konkrete kommentarer har vi et generelt innspill om håndhevelse og tilsyn av både dette forslaget og allerede gjeldende regelverk. Uten effektiv håndhevelse har nye lover liten verdi.
1. Stortinget ber regjeringen utrede, med sikte på å innføre, et forbud mot reklame som er basert på masseovervåking, sporing og profilering av enkeltpersoner.
Vi støtter dette forslaget i sin helhet. Et forbud mot målrettet reklame som baserer seg på kommersiell overvåkning er noe Attac og andre sivilsamfunnsorganisasjoner som Amnesty jobber for. Den nylige rapporten fra Personvernkommisjonen anbefaler også i stor grad et slikt forbud.
EUs Digital Services Act (DSA) har også et slikt forbud, men har begrenset reguleringen til kun å gjelde barn. Dette er uheldig avgrensning. Et forbud som også gjelder voksne, viser at norske myndigheter forstår alvorlighetsgraden og de mulige konsekvensene av det omfattende kommersielle overvåkningssystem som spesielt Google og Facebook i dag representerer.
2. Stortinget ber regjeringen stille strengere krav til standardisering, kortfattethet og klarspråk i personvernerklæringer på sosiale medieplattformer som opererer i Norge.
Dette er i tråd artikkel 12 i den europeiske personvernforordningen (GDPR) om at slike personvernerklæringer skal være formulert «på en kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk, især når det gjelder informasjon som spesifikt er rettet mot et barn». Vi mener derfor at forslaget allerede er dekket av gjeldende reguleringer. Her er heller saken manglende håndhevelse og tilsyn slik vi utdyper i kommentaren under.
3. Stortinget ber regjeringen etablere et eget algoritmetilsyn under Datatilsynet.
Vi støtter dette forslaget. Et algoritmetilsyn bør bygge på Artikkel 22 i GDPR som gir innbyggere rett til å ikke bli profilert med utelukkende automatiserte midler, men legger til grunn en rett til menneskelig inngripen. Datatilsynet er riktig institusjon for å håndheve personvernregelverk. Se utfyllende kommentar under om tilsyn og håndhevelse.
4. Stortinget ber regjeringen fremme forslag om å innføre et forbud mot at de store teknologiselskapene favoriserer sine egne produkter og tjenester framfor andre selskaper via sine sosiale medieplattformer.
Dette forslaget følger EUs Digital Markets Act (DMA) og vi støtter intensjonen i forslaget. Vi mener likevel at ordlyden her for begrensende sammenlignet med DMA. Et forbud mot å fremme egen produkter er i all hovedsak rettet mot praksisen hos selskap som Amazon, som fremmer egne merker på bekostning av andres i sin nettbutikk, eller Apple Store som f.eks. fremmer Apple Music foran Spotify. Tillegg «via sine sosiale medieplattformer» legger derfor til en unødvendig avgrensning siden «sosiale medieplattformer» ikke er laget for salg av produkter.
For å følge opp dette tydeligere når det kommer til sosiale medier anbefaler vi å legge DMAs artikkel 7 til grunn, og gå et steg videre derfra. Artikkel 7 pålegger såkalte digitale «gatekeepers», spesielt innenfor meldingstjenester, å svekke sine innlåsningmekanismer og åpne for interoperabilitet med andre tjenester. Innlåsningsmekanismene tvinger brukere til å bruke samme app som deres kontakter gjør for å kunne kontakte dem. Man kan for eksempel ikke bruke Facebook Messenger til å kontakte en person som bruker Microsoft Teams i dag, selv om dette kunne vært teknisk mulig.
Vi mener dette bør tas et steg videre og også implementeres for flere sider av sosiale medier utover meldingstjenester, så som gruppediskusjoner, innlegg på tidslinjer og arrangementer. Dette vil i mye større grad sikre sunn konkurranse og valgfrihet for innbyggerne.
5. Stortinget ber regjeringen fremme forslag om å innføre en rett til å kunne bruke digitale tjenester uten å måtte godta at innsamlet data deles på tvers av plattformer eid av ett og samme selskap.
Også dette forslaget er inspirert av Digital Markets Act, men her er DMA tydeligere. Artikkel 5 forbyr slik deling av data, heller enn å gjøre det til en rettighet som enkeltpersoner må hevde for å kunne få. Vi anbefaler å heller legge DMA til grunn her med et totalt forbud.
Et viktig grep vil i tillegg være at Konkurransetilsynet må få myndighet til å sikre at slike data-monopoler i selskaper splittes opp både teknisk og organisatorisk, spesielt når et selskaps tilgang til større mengder data fra ulike plattformer kan lede til maktkonsentrasjon hos dette selskapet.
6. Stortinget ber regjeringen utrede omfanget av og utfordringene rundt lagring av biometriske data fra norske forbrukere på sosiale medieplattformer.
Vi støtter intensjonen i dette forslaget, men vil peke på at biometriske data hører til som en «særlige kategorier av personopplysninger». Slik lagring, med enkelte unntak, er dermed allerede forbudt i henhold til personvernforordningens artikkel 9.
Utredning av, og eventuelt forskning på, omfanget av sosiale medieplattformers bruk av biometriske data kan være viktig, men igjen mener vi dette først og fremst er et spørsmål om manglende håndhevelse av gjeldende lovverk, slik vi skriver om under.
7. Stortinget ber regjeringen fremme forslag om å innføre strengere krav til personvern i forbindelse med offentlige anskaffelser som involverer sosiale medieplattformer.
Vi støtter igjen intensjonen i forslaget, men ser ingen grunn til å avgrense dette til sosiale medieplattformer. Personvern og prinsipper for beskyttelse av data bør gjelde alle anskaffelser, og bruk, av digitale systemer og tjenester i det offentlige til enhver tid.
Sosiale medieplattformer er sjelden underlagt anskaffelsesregelverk, da tjenestene kan brukes uten anbud eller tilsvarende innkjøpsprosesser. Avgrensningen til sosiale medieplattformer gjør dermed dette til noe som sjelden eller aldri vil komme til anvendelse.
Dette er også i stor grad allerede dekket av personvernforordningen (GDPR) i artikkel 35 som pålegger offentlige aktører å gjøre en en slik vurdering av personvernkonsekvenser før bruk og innkjøp av nye digitale systemer.
Datatilsynet har gjennomført en slik vurdering med tanke hvorvidt de skal ha sin egen Facebook-side, slik mange offentlige institusjoner har (omtalt her https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2021/datatilsynet-velger-a-ikke-bruke-facebook/). Datatilsynet fant at Facebook ikke tilbyr gode nok personverngarantier, og at Datatilsynet og tilsynets brukere vil være underlagt Facebooks gjeldene og framtidige tjenestevilkår. De valgte dermed å ikke bruke Facebook. Dette kan legges til grunn når andre institusjoner og organer gjør sin vurdering.
Et alternativ vil være at norske myndigheter innstallerer og publiserer sin egen instans av et ikke-kommersielt og desentralisert sosialt medium, slik både EU og tyske myndigheter har gjort med henholdsvis social.network.europa.eu og social.bund.de (bygd på Mastodon-teknologien).
Dette er et alternativ som sikrer overholdelse av personvernforpliktelser i kommunikasjonen med innbyggere gjennom sosiale media. Norske myndigheter kan tilby en tilsvarende tjeneste til alle offentlige institusjoner, og tilby det som en alternativ når offentlige institusjoner skal gjøre en personvernvurdering av sin sosiale mediebruk.
Om tilsyn og håndhevelse
I september deltok vi på Forbrukerkonferansen i Oslo der Max Schrems, Europas mest kjente personvern-advokat (med henholdvis Schrems I- og Schrems II-dommene som har fått store konsekvenser i hele Europa) innledet sammen med blant annet barneombud Inga Bejer Engh og Forbrukerrådets Finn Myrstad. Der var det bred enighet om at GDPR kan tjene som et tidsriktig grunnlag for digital og analog regulering av personvern. Samtidig var det også bred enighet om hovedproblemet for personvern online ikke var mangelen på lovverk, men mangelen på håndhevelse som kommer fram i følgende sitater:
“The problem right now is not that we need another law. We have shitloads of laws. But nobody is enforcing it.” (Max Schrems)
“Hvis det er krav uten konsekvenser, så er det bare et ønske” (Inga Bejer Engh).
Som vi viser til gjennom referansene over så dekker GDPR allerede store deler av intensjonene i representantforslaget. Selvfølgelig vil nye norske reguleringer som spesifiserer hvordan personvernreguleringer bør utformes kunne bidra til økt bevissthet, klargjøre uklarheter og tette hull, og vi støtter derfor forslagene.
Vi må likevel være tydelige på at ingen reguleringer og lover vil virke, så lenge det ikke er effektiv håndhevelse.
Vi mener Datatilsynet gjør en svært god jobb, gitt deres kunnskap og kapasitet. Vi ser likevel at i dag så har kun 5 av 55 på tilsynets ansattliste har en stilling beskrevet som teknolog eller ingeniør. Klager fra innbyggere og offentligheten aksepteres bare via papirpost og har flere måneders svartid. For et tilsyn som primært skal følge digitale prosesser er Datatilsynets tilstand i dag at de mangler kapasitet til å effektivt, og i rett tid, kunne følge opp saker i nødvendig omfang. Dersom tilsynet skal kunne være proaktivt har de i enda større grad begrenset kapasitet.
I mellomtiden utvikler ovennevnte Max Schrems programvare som automatisk kan oppdage hundrevis av ulovlige cookie-advarsler og personvernserklæringer på en gang. Nordrhein-Westfalen, en av 16 delstater i Tyskland, har opp mot 400 ansatte saksbehandlere, spredd på en rekke forskjellige avdelinger, fra adressehandel til sky-lagring eller varslere (jmf https://www.ldi.nrw.de/kontaktpersonen-uebersicht). Det tilsvarer cirka en saksbehandler per 45 000 innbyggere, noe som vil tilsvare cirka 120 saksbehandlere i det norske Datatilsynet.
Å etablere et eget algoritmetilsyn er en glimrende idea, men vi må ikke glemme at Datatilsynet trenger flere ansatte og tekniske ressurser for å kunne håndheve dagens regelverk. Vi vil derfor følge opp vår anbefaling til statsbudsjettet om en umiddelbar styrking av Datatilsynet med 10 millioner i år, og en plan for å styrke Datatilsynet betraktelig i årene framover. Det bør i løpet av få år være 100 saksbehandlere og teknologer i tilsynet for å sikre forsvarlig personvern i Norge. Det bør også utvikles digitale verktøy for proaktivt følge opp potensielle lovbrudd fra tjenesteytere, og digitale løsninger for å gjøre klageprosesser mer tilgjengelige og effektive for offentligheten.
Mer kunnskap om personvern og digitalisering er også viktig for å sikre god regulering på feltet. Egne forskningsprogrammer knyttet til området bør derfor være en prioritet framover. Tilsvarende er demokratisk debatt og økt bevissthet om disse temaene er også viktig, og en egen støtteordning for sivilsamfunn som jobber med digitale spørsmål tilsvarende det ulike department har på andre områder (miljø, landbruk, barn og unge, kultur, utviklingsspørsmål, osv) vil kunne bidra sterkt til dette framover.