Slik beskytter du dine data og ditt personvern

Dersom noen setter opp et overvåkingskamera som peker inn gjennom soveromsvinduet ditt, eller de publiserer sensitive opplysninger om deg i avisen, da har de åpenbart tråkket over en grense. Dette er ikke noe nytt; personvern har alltid vært viktig.
Men gamle lovverk har ikke klart å holde tritt med den hurtige digitaliseringen og eksplosjonen av tilgjengelige data det siste tiåret. For hva med all aktiviteten din på nettet og mobilen, og alt annet som etterlater digitale spor – skal ikke dette også være skjermet for innsyn?
Her har grensene vært mer uklare. Det er imidlertid i ferd med å endre seg. De som bruker data på bekostning av folks sikkerhet og personvern møter nå økende press både ovenfra og nedenfra, fra lovgivere og enkeltpersoner.
Det var blant annet reglene på dette området som ble oppdatert og strammet inn i 2018, da lovverket General Data Protection Regulation (GDPR) ble innført i EU og EØS. I Norge kaller vi det personvernforordningen. Den ble tatt inn i personopplysningsloven og gjelder som norsk lov fra juli 2018. Loven har gitt oss flere og sterkere rettigheter.
For å beskytte deg og interessene dine på nettet kan du praktisere disse rettighetene. Det er også andre grep du kan ta for å være trygg på nettet og skjule dine digitale spor. I dette emnet vil vi gå gjennom både hvilke rettigheter du har, og noen grunnleggende teknikker for digitalt selvforsvar.

Fakta

Hva er personvern?

Alle har rett til privatliv. Det står faktisk i Grunnloven: «Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon.» Det er kort og godt dette som menes med personvern.
Det er altså en grunnleggende rettighet at våre private sfærer skal respekteres og vernes om. Med private sfærer mener vi for eksempel:
  • Psykisk (mobbing, baksnakking)
  • Kroppslig (intimsoner, medisinske undersøkelser)
  • Geografisk (kameraovervåkning, titte inn i et vindu
  • Kommunikasjon (innbrudd i e-posten)
I tillegg omfatter dette vern av våre personopplysninger. Det vil si enhver opplysning om en identifisert eller identifiserbar fysisk person.
Hva som regnes som en personopplysning er veldig bredt: Det gjelder alle data som kan identifisere deg direkte eller på en annen måte knyttes til deg som enkeltperson – alt fra navnet ditt og posisjonen din, til ganglaget ditt eller hvordan og hvor fort du skriver på et tastatur. Alt dette er beskyttet under GDPR.
Personvernet har direkte betydning for et demokratisk samfunn. Uten vern kan vi rett og slett ikke ha et demokrati – fordi vi blir manipulerbare hvis vi ikke har en fundamental form for privat sfære hvor vi kan ha frie tanker, utvikle egne meninger og informere oss.
I den analoge verden har de rike store hus med store tomter, de har vektere og kameraovervåking. Personvernet gjelder også i den analoge verden. I den digitale verden må det forhandles på nytt.
Hvem skal eie dataene? Hvem skal eie infrastrukturen? Hvordan kan vi motarbeide sterke sentraliseringstendenser der informasjon, data og makt er samlet i noen få hender? Dette er politiske spørsmål, og det er også derfor EU har tatt lederskap på området.

Hvilke rettigheter har jeg?

Du etterlater deg altså massevis av digitale spor, som ulike aktører og virksomheter har innsyn i. Mye av dette regnes som personopplysninger; det er knyttet til deg som en identifisert eller identifiserbar person.
Misbruk av personopplysninger kan være krenkende og ubehagelig, og i verste fall føre til ting som utpressing eller identitetstyveri. Men andre større og mindre overtramp er ikke bare mulig, det er svært vanlig – for eksempel misbruk av samtykke, som egentlig skal være både spesifikt, gitt gjennom en aktiv handling og oppfylle flere andre krav for å være gyldig.
Her trenger det ikke engang være onde hensikter som ligger bak. Det skjer for eksempel ofte at de som ber om samtykke rett og slett ikke helt forstår hva et gyldig samtykke er.
Virksomheter som behandler personopplysninger – samler dem inn, ser på dem, lagrer dem, sletter dem og eller gjør noe som helst annet med dem – har en rekke plikter. Blant pliktene er nettopp å forstå reglene for samtykke og å ha et rettslig grunnlag for behandlingen (mer om dette i kapittel 3). De kan ikke gjøre hva de vil.
Du som enkeltperson har på den annen side mange rettigheter.

Fakta

GDPR gir deg rett til …

  • Informasjon: Du skal bli informert om formål, behandlingsgrunnlag, hvem som mottar dataene, eventuell automatisk behandling, overføring ut av EU/EØS, og så videre
  • Innsyn: Den registrerte (den det gjelder) kan be om svar på alt det ovennevnte, samt be om innsyn i hvilke personopplysninger den behandlingsansvarlige har om dem
  • Retting: Dersom opplysningene er uriktige eller ufullstendige eller den registrerte er blitt forvekslet med en annen, kan en kreve at disse rettes
  • Sletting: Noen ganger, men ikke alltid, har du «rett til å bli glemt» og kan be om sletting
  • Begrensning: Hvis en for eksempel mener at opplysningene er uriktige, må dette undersøkes av den behandlingsansvarlige og behandlingen begrenses eller stanses
  • Dataportabilitet: Visse opplysninger kan du be om å få utlevert slik at de f.eks. kan gjenbrukes eller overføres til en annen tjenesteleverandør
  • Å protestere: Du kan alltid motsette deg direkte markedsføring, og gitt din særlige situasjon kan du i visse tilfeller protestere også mot annen behandling (f.eks. ved interesseavveiing)
Her skraper vi bare på overflaten. Hva disse tingene betyr – fra behandlingsgrunnlag til interesseavveiing – vil du lære mer om i kapittel 3. Du kan også bruke Datatilsynets nettsider for å gå i dybden på de enkelte punktene og finne ut hvilke spesifikke lover, regler og rettigheter som er knyttet til hver av dem.
Så må det også understrekes at personvern ikke er en absolutt rettighet. Det må alltid balanseres mot andre friheter, som for eksempel ytringsfrihet. Det må veies mot verdier som liv og helse. Og vi må ta hensyn til andre rettigheter – som for eksempel retten til å drive økonomisk og kommersiell aktivitet.
Det ville for eksempel vært absurd om ikke et forsikringsselskap kunne selge innboforsikring, ettersom det krever kundens navn og adresse. Det finnes også andre grunner til at noen sin interesse av å behandle personopplysninger veier tyngre enn den enkeltes personvern. Ingen regler uten unntak – og skjønnsvurderinger.
Det er fortsatt både lovlig og fullt mulig å behandle personopplysninger, men det må skje innenfor visse rammer, og på et definert grunnlag – der behandlingen er forholdsmessig veid opp mot formålet.

Følg disse prinsippene for å beskytte personvernet

Det kan være lett å føle seg maktesløs når det gjelder personvern. Det at det er en fare for at du som privatperson kan re-identifiseres selv ut fra «anonymiserte» data er bare ett eksempel på hvorfor.
Lover og regler som GDPR hjelper. Loven setter for eksempel krav til dataminimering, det vil si at en ikke skal samle inn mer data enn det som er strengt nødvendig for formålet – og dataene skal heller ikke brukes til noe annet enn dette formålet. Men som vi har sett er det vanskelig å lage lover og reguleringer som fullstendig holder tritt med utviklingen, og som samtidig ikke blir så strenge at de hemmer innovasjon.
Derfor må hver av oss selv ta grep for å beskytte oss selv. Da kommer du langt med disse prinsippene:
  1. Vær bevisst
  2. Velg alternative tjenester
  3. Informer deg bredt og utvis kildekritikk
Det viktigste er at du har kunnskap om og bevissthet rundt dette, og handler deretter. Enkle grep du kan ta er for eksempel å installere utvidelser i nettleseren din som automatisk begrenser sporing og sletter informasjonskapsler, bruke en passordbehandler som hjelper deg med å ha sterke, unike passord for å sikre informasjonen din, eller å bruke VPN-tjenester for å gjøre deg mer usynlig på nettet. Dette er kun noen få eksempler på hva du kan gjøre. Dette kommer vi tilbake til i neste kapittel, når vi snakker om sikkerhet.
Videre kan du unngå å dele mer data enn nødvendig med de store plattformene gjennom å velge alternative tjenester. Du kan for eksempel velge andre tjenester for e-post og meldinger enn dem som er eid av Google eller Meta (Facebook). Velger du tjenester med såkalt ende-til-ende-kryptering vil selve innholdet dessuten ikke være synlig for andre enn deg selv og mottakeren.
Tilsvarende kan du velge alternative tjenester – gjerne såkalt «open-source» (åpen kildekode) – for nettlesere, søkemotorer og så videre. En tommelfingerregel er at hvis du betaler for tjenesten, er det mindre sannsynlig at det er du som er produktet.
Til slutt er det viktig å kjenne forskjellen på menneskelig og algoritmisk utvalgt informasjon. Vi informerer oss i økende grad gjennom digitale flater. Det er ikke bare sosiale medier som velger ut innholdet for hver bruker ved hjelp av algoritmer. Når du søker på noe, kan du få servert andre resultater enn noen andre basert på dine tidligere søk. Dermed får du potensielt et helt annet bilde av verden enn naboen din.
Vi har ikke innsyn i premissene som ligger til grunn for algoritmene når de velger ut hvilke søkeresultater vi ser i Google, hva vi får anbefalt å se eller høre på YouTube eller Spotify eller hvilket innhold vi ser på Instagram og TikTok – annet enn at det er det innholdet algoritmen mener vil fenge oss mest. Disse digitale profilene brukes i neste omgang til å tilby skreddersydd reklame.
Derfor er det viktig å informere seg bredt, oppsøke alternative kilder, og ta grep som å bruke personvern-rettede søkemotorer og nettlesere for å finne mest mulig nøytralt innhold.