Anonymisering, profilering og automatiserte avgjørelser

Nå begynner du å få et godt overblikk over hva GDPR går ut på – og alt du må tenke over når du skal behandle personopplysninger. Det er kanskje ikke så avskrekkende som du hadde sett for deg?

Før vi runder av kapittelet, er det et knippe konkrete temaer og problemstillinger det er lurt å kjenne til, som vi kjapt skal gå igjennom her: anonymisering og pseudonymisering, profilering og automatiserte individuelle avgjørelser.

Et par viktige begreper som du fort vil møte på i GDPR-sammenheng er anonymisering og pseudonymisering. Hva innebærer det – og hva er forskjellen?

Pseudonymisering betyr at opplysningene ikke lenger kan knyttes til en enkeltperson uten tilleggsinformasjon – uten en «nøkkel». For eksempel blir alle navnene på en liste erstattet med tall, og du kan ikke lenger se hvem som er hvem.

Anonymiserte opplysninger på sin side kan ikke knyttes til en enkeltperson i det hele tatt. Da er de ikke lenger personopplysninger, og faller utenfor personvernforordningen.

I praksis er det imidlertid nesten umulig å anonymisere personopplysninger på denne måten, av flere grunner.

For eksempel kan det finnes kopier av datasettet. Si at du «anonymiserer» et datasett om pasienter for bruk i undervisning av medisinstudenter. Det opprinnelige datasettet vil fortsatt finnes på et sykehus eller en forskningsinstitusjon, og vedkommende vil derfor være mulig å identifisere. Dataene kan også potensielt kombineres med andre datasett, som gjør det mulig å legge sammen to og to og avsløre identiteten til de registrerte.

Altså er det veldig mye som skal til for å snakke om anonymiserte opplysninger. Men i den grad du faktisk har reelt anonymiserte opplysninger, vil de ikke lenger omfattes av GDPR.

Med profilering menes automatisk behandling av personopplysninger med formål om å vurdere visse personlige aspekter ved enkeltpersoner. En profilering kan for eksempel ha som hensikt å analysere eller forutsi en persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser.

I praksis innebærer dette typisk en maskinlæringsalgoritme som bruker tilgjengelige data til å vurdere oss, analysere oss eller prøve å forutsi hva vi vil være interessert i og hvordan vi kommer til å opptre i ulike situasjoner.

Dette blir typisk brukt for å levere målrettet reklame. Men det er også lett å tenke seg hva slags verdi (og potensial for misbruk) slike profiler kan ha i forbindelse med for eksempel lånesøknader, kredittvurderinger og i politiske sammenhenger.

Her er det mange skjær i sjøen. Algoritmene kan for eksempel være basert på mangelfulle data og gi urettferdige profiler som ikke stemmer med virkeligheten. Eller det kan oppstå diskriminering, som at to personer får tilbud på produkter i helt ulike prisklasser.

Du skal derfor være sikker på at du har et solid rettslig grunnlag for å drive med profilering. Loven gjør det klart at hvis man utvikler automatiserte løsninger som produserer resultater som enten er åpenbart feilaktige og urimelige, eller fremstår som dette, så er dette forbudt. Bruk av automatiske avgjørelser kan dessuten i seg selv være forbudt, som vi straks skal se.

Skal du bruke en form for profilering, er det spesielt viktig at du gir god informasjon om hva dere gjør og hvorfor, på en slik måte at dere bygger tillit hos brukeren og lar dem se verdien av det dere gjør.

GDPR gir i utgangspunktet den enkelte rett til ikke å være gjenstand for en automatisert individuell avgjørelse – altså en avgjørelse som utelukkende er basert på automatisert behandling.

Så hva innebærer en automatisert individuell avgjørelse? For det første må avgjørelsen skje uten meningsfullt menneskelig inngrep, og for det andre må det være en avgjørelse med rettslig betydning eller en tilsvarende betydelig innvirkning på oss.

Si at du går i banken og søker om lån. Hvis banken bruker en algoritme til å vurdere om du skal få lånet eller ikke, og det er algoritmen alene som tar denne avgjørelsen, vil dette være en automatisert individuell avgjørelse. Hvis det derimot er en bankansatt som sier ja eller nei basert på algoritmens vurdering, er det ikke lenger en automatisert avgjørelse – fordi det er et menneske som har siste ord.

Det andre vilkåret er at avgjørelsen må ha rettslige konsekvenser eller tilsvarende betydelig påvirkning på oss. Hva slags lån du kan få av banken kan for eksempel være avgjørende for å komme inn på boligmarkedet. Eller hvis slike algoritmer blir brukt av institusjoner som NAV, kan det avgjøre om du har rett til å få utbetalt penger. I begge tilfeller er dette avgjørelser som vil ha betydelige og/eller rettslige konsekvenser.

Så hvorfor må vi forstå hva som regnes som en automatisert individuell avgjørelse? Det er fordi dette i utgangspunktet ikke er lov, uten et særskilt rettslig grunnlag.

Dette kan inkludere profilering, men ikke nødvendigvis. Si at du blir fanget opp av to fotobokser på en strekning med strekningsmåling. En algoritme brukes til å regne ut farten du har holdt, og kan avgjøre at du skal få en fartsbot hvis du har kjørt for fort. Algoritmen vurderer ikke om du er en god sjåfør eller ikke – den vurderer bare hastigheten til bilen.