Personvern i tingenes internett

Vi omgir oss i økende grad med "smarte dingser" som samler informasjon om oss og overfører denne til en eller flere mottakere via nett. Det kan være strømmåleren som registrerer når du er hjemme, treningsarmbåndet som måler hvilepulsen din, kjøleskapet som holder orden på handlelisten eller mobilen som registrerer hvor du er for å gi deg korrekt værvarsel. Analysebyråer anslår at "tingenes internett" vil bestå av mange milliarder enheter om kort tid, og at vi alle vil ha minst 5-6 slike enheter.

Media technologies concept

Tingenes internett har mange fordeler. Teknologien er ennå i sin spede barndom, men gir uante muligheter. Den kan gi en revolusjon innen medisin ved at sykehus i større grad kan fjernovervåke pasienter og deres medisinering, og den kan utgjøre et viktig bidrag til håndtering av verdens miljøutfordringer. Teknologien vil være disruptiv for flere bransjer enn vi kan overskue i dag.

Samtidig medfører teknologien at en uendelighet av data om oss som enkeltpersoner, våre valg og personlige forhold blir gjort tilgjengelig for andre. Dette reiser ubehagelige spørsmål om hvem som får tilgang til informasjonen, og hvordan den brukes. Kombinert med ”Big Data”-teknologi kan disse dingsene bidra til at en rekke uvesentlige opplysninger kan settes sammen og gi detaljert informasjon om våre preferanser og holdninger.

Personvern og informasjonssikkerhet står sentralt. De grunnleggende krav til personvern er de samme for tingenes internett som ellers. Behandling av personopplysninger forutsetter legitim interesse, formålet må være spesifisert og håndteringen forholdsmessig med tanke på hva slags data som lagres og hvor lenge denne lagres. Den enkelte har krav på tilgang til sine opplysninger, kan kreve disse slettet eller rettet. Individuelle samtykker kan være nødvendige.

Teknologien legger imidlertid til rette for en automatisert databehandling som gjør at den enkelte ofte ikke ser eller forstår at personopplysninger behandles. Dette gjør det vanskeligere å håndheve personvernet. Det er fare for at dataene deles med andre enn forutsatt. Mange føler allerede i dag ubehag med aggressiv rettet markedsføring, og det er neppe alle som har lyst til å dele informasjon fra pulsklokken med livsforsikringsselskapet sitt... Nettverksoverføringene kan videre åpne for hacking og uvennlige angrep. Alvorligheten av dette avhenger av type data. Informasjon om hvor mange liter melk som står i kjøleskapet reiser færre sikkerhetsutfordringer enn hacking av fjernstyrt insulinmedisinering. Problemstillingene er reelle. I flere saker, også i Norge, rapporteres at levende bilder fra overvåkningskameraer i private hjem ligger tilgjengelig på internett.

Seriøse tilbydere av varer og tjenester som bygger på slik teknologi, møter derfor nye praktiske utfordringer når kundenes personvern skal ivaretas. Teknologien gjør databehandlingen mer kompleks, informasjon samles inn av enheter som befinner seg hos bruker, tilbyderen kontrollerer ikke nettverkene, informasjon lagres og bearbeides hos tredjemann og gjerne i flere ulike land. Medvirkning fra hardwareprodusenter, softwareutviklere og nettverkstilbydere er nødvendig for å oppfylle grunnleggende krav til personvern og sikkerhet. Hvordan innhente utrykkelige og informerte samtykker, hvordan sikre enheter, overføringslinjer og lagret informasjon fra utenforstående, hvordan håndtere behandling i utlandet, hvordan bruke dataene til nye formål på lovlig måte og hvilke lands regler gjelder for hva, er blant mange spørsmål som må finne sin løsning.

Svarene ligger etter vår oppfatning i tidlige og gode analyser av hvilke personvernutfordringer tjenestene reiser. Hensynet til personvernet må utgjøre en integrert del av tjenesteutviklingen. Ansvar for oppfyllelse av kravene må reguleres i avtaler. Rent praktisk medfører tingenes internett at personvernløsninger i større grad må bygges inn i hardware og grunnleggende plattformsløsninger. Det blir vanskeligere å implementere løsninger for å ivareta grunnleggende personvernhensyn i ettertid, og tidlige feil kan koste dyrt. Samtidig er det ikke slik at ”one size fits all”. Det må gjøres individuelle tilpasninger som tar hensyn både til praktisk tilgjengelig teknologi og hva slags type personopplysninger det er tale om.

”Privacy by Design” og risikobasert tilnærming er også sentrale stikkord for den lenge omdiskuterte, men høyst nødvendige moderniseringen av EUs personvernregelverk. Endelig vedtak kan forhåpentlig ventes i 2015. Sikkert er i hvert fall at den tekniske utviklingen ikke venter på lovgiver.