Hva vet internett EGENTLIG om deg?

Det finnes mye informasjon om oss på nett – informasjon som både enkeltpersoner, selskaper og myndigheter interesserer seg for. I kjølvannet av Facebook- og Cambridge Analytica-skandalen, og i forkant av ny personvernlov (GDPR), tok Tekna debatten om hva internett egentlig vet om oss.

Hvilken informasjon finnes om oss?
Datatilsynet ga nylig ut rapporten «Hva vet de om deg?» etter at tre personer hadde bedt om innsyn hos fire norske selskaper. Hvilken informasjon hadde disse selskapene lagret om dem?

«Vi skrev ut all informasjonen vi fikk», forteller Datatilsynets direktør Bjørn Erik Thon. «Og jeg tuller ikke, vi fikk cirka to meter da vi la arkene oppå hverandre. Det var alt mulig rart de har kjøpt og sett og lest og holdt på med. Så de vet utrolig mye om oss. Og dette var norske, vanlige selskaper som vi har å gjøre med alle sammen.»

Også de store IT-gigantene samler inn mye data om oss. Og de bruker dataene til å utlede mest mulig kunnskap om hver enkelt person.

«For eksempel Amazon bruker den informasjonen du har gitt fra deg, gjerne sammen med kunstig-intelligens-baserte algoritmer, for å skjønne hva du liker», sier Morten Goodwin, nestleder ved senteret for kunstig intelligens på Universitetet i Agder.

«Facebook og Google gjør det samme: De prøver å skjønne meg som bruker», fortsetter han. «Det er en kjent studie fra Stanford som behandler hvor mange likes man må gi fra seg på Facebook før en algoritme kan fortelle hva jeg liker. Det viste seg at hvis jeg ga fra meg 70 likes, så klarte algoritmen å gjenskape hva jeg likte bedre enn en venn. Hvis jeg ga fra meg 300 likes, så klarte den det bedre enn kona. Kona er altså verdt 300 likes på Facebook. Det viser noe av styrken i data, og hvilken makt det gir Facebook og Google å bruke kunstig intelligens til å forstå meg som bruker.»

«Disse dataene har en verdi», kommenterer Hans Christian Pretorius, avdelingsdirektør i Nasjonal sikkerhetsmyndighet (NSM). Han mener det er for lite refleksjon rundt de store datamengdene som samles inn. «Vi begynner å se konturene av at denne teknologien tas i bruk på måter vi mener kan svekke samfunnet.»

Typen data som blir tilgjengelig, endres også i tråd med teknologisk utvikling, blant annet biometri – måling av fysiologiske karaktertrekk.

«Det er jo så himla lettvint å kunne låse opp telefonen med ansiktet ditt, eller fingeravtrykket», sier Lise Lyngsnes Randeberg, president i Tekna og professor ved NTNU. «En diskusjon jeg også tror vi trenger å ta, er hvor lett gir vi fra oss biometri? Ansiktet vårt er jo ikke hemmelig når vi går på gaten.»

Hva betyr det at noen vet så mye om oss?
Så hva betyr det egentlig for hver enkelt av oss, og for samfunnet, at det er så mye persondata i omløp?

Det kommer helt an på hva dataene blir brukt til.

«Vi tenker at vi har ingenting å skjule», sier Randeberg. «Men så møter du deg selv i døren den dagen du ikke får lån, eller ikke får helseforsikring.»

«Det er først nå i de siste årene vi har sett at dataene blir brukt på en måte som gjør at vi merker det på kroppen», supplerer Thon. «Det er nå i de siste årene vi har sett personifiseringen, med kjempehøye priser på forsikringer fordi du har en profil som sier at du kommer til å dø tidlig. Vi er ennå tidlig i den utviklingen.»

«Informasjonen kan også falle i hendene på uvedkommende og bli brukt mot deg for økonomisk vinning», påpeker Peggy S. Heie, direktør i NorSIS som blant annet har ansvar for slettmeg.no. I rapporten «Trusler og trender 2017–18» viser NorSIS flere eksempler på hva man kan bli utsatt for, blant annet dating-svindel, krenkelser, trakassering og utpressing. Informasjon som er hentet inn fra flere kilder kan sammenstilles, tas ut av sammenheng og brukes mot deg.

«For jenter i Norge er det kanskje ikke så farlig om andre får vite at du har tatt abort», eksemplifiserer hun. «Men i andre kulturer kan det stå om liv og helse.»

I et nasjonalt perspektiv er også Pretorius bekymret. Han peker på at det pågår et større spill med påvirkningskampanjer, falske nyheter og blant annet påvirkning av politiske valg.

«I den konteksten blir det mer og mer krevende at det ligger så mye detaljert informasjon om enkeltindivider i Norge», sier han. «Ett individ er ikke et problem, men det blir en større samfunnsutfordring når biografien til alle er tilgjengelig.»

Facebook og Cambridge Analytica
En sak som har gjort flere mer oppmerksom på hvilke persondata som er i omløp, er skandalen rundt Facebook og Cambridge Analytica. Sistnevnte er et britisk selskap som blant annet samler inn og bruker data til politisk påvirkning. De hevder selv at de har bidratt både til Brexit og Trumps valgkampseier – gjennom å identifisere hvilke enkeltpersoner som er mottakelig for hvilke politiske budskap.

En viktig del av datagrunnlaget deres, ifølge nylige avsløringer, er at de i 2014 samlet inn store mengder persondata gjennom appen «This is your digital life» som fremsto som en personlighetstest. 270 000 personer brukte appen og godtok at den samlet inn informasjon fra Facebook-kontoene deres. Det ingen visste, var at appen utnyttet en mulighet i Facebook til å hente ut data også om brukernes venner. Dermed endte Cambridge Analytica opp med persondata om flere titalls millioner uvitende brukere.

«Dette har virkelig vært en game changer når det gjelder personvern», sier Thon. «Aksjen til Facebook var på det meste ned 12 prosent. Det er ikke ofte du ser sånne børsfall. Det sier noe om hvilken posisjon personvern har fått i samfunnet i dag.»

«Dette har gitt noen refleksjoner», istemmer Pretorius, som tror saken har vært en øyeåpner for mange. «Disse sosiale plattformene har stor makt over oss, og de er utrolig dyktige på små ting som øker verdien av dataene. Når du kjøper en bok på Amazon, tilbyr de gratis gavepakning. Det er ikke fordi de skal være hyggelige, men da vet de at boken ikke er til deg; den kjøpte du til noen andre.»

Ny personvernlov skjerper personvernskravene – på godt og kanskje litt vondt
Et av virkemidlene som kan presse Facebook og andre til å sikre persondata bedre, er det nye personvernregelverket GDPR som innføres i EU 25. mai. (Den norske varianten ser ut til å bli litt forsinket.)

«Et av kravene som blir skjerpet er at selskapene skal ha oversikt over hvilke data de har om kundene sine», sier Thon, «De skal ha oversikt over hva de har, hva de bruker dataene til, hva de deler med tredjeparter og hva tredjepartene bruker dataene til. I denne sammenhengen er Cambridge Analytica en tredjepart, og Facebook har helt åpenbart ikke hatt oversikt over hva de har delt.»

Det finnes imidlertid også enkelte bekymringer knyttet til det nye regelverket. Goodwin frykter at regelverkets begrensninger på å samle inn data, såkalt dataminimering, i praksis kan gi selskaper som Facebook og Google markedsdominans.

«De har en enorm fordel når de får tak i så mye data. Da blir det vanskelig å konkurrere i gründer- eller forskningssammenheng. Grunnen er at det er vanskelig å vite på forhånd akkurat hvilke data som kunstig-intelligens-algoritmene trenger. Hvis jeg finner ut at jeg trenger sensordata fra to år tilbake, men har latt være å lagre de dataene, kan jeg ikke bare hente dem inn. Hvis jeg hele tiden må dataminimere, kan jeg komme i den situasjonen at algoritmen ikke klarer å gjøre det den egentlig ville ha klart. Det er skummelt med tanke på at Facebook og Google lagrer alt de kan.»

Goodwin frykter at fremtidige tjenester som bruker kunstig intelligens, stort sett må kjøpes fra selskaper som Facebook eller Google, nettopp fordi datamengdene deres gir dem store konkurransefortrinn.

«Det er en interessant diskusjon», sier Randeberg. «Skal vi bare gi opp og gi alt til Google, Apple, Facebook og Amazon – eller skal vi satse på å motarbeide dem. Eller samarbeide med dem? Vi ser at flere og flere norske kommuner går bort fra norske It’s Learning og går over til å bruke Google. Man kan også få noen tanker rundt at Google får tilgang til en stil som en åttendeklassing skriver i dag. Hvilke konsekvenser får det for åttendeklassingen når han blir 25? Det er interessante perspektiver.»

Viktig med bevisstgjøring og etisk refleksjon hos teknologene
Randeberg kommer borti dilemmaene rundt datatilgang også i sin egen jobbhverdag.

«I Tekna er vi opptatt av forsvarlig bruk av teknologi og etisk refleksjon. Vi er skeptisk til ukritisk innsamling av data. Men jeg er også professor på NTNU og forsker på helsedata, og jeg ser at jo mer data jeg får samle inn, jo mer kan jeg faktisk gjøre. Og så har jeg et lite gründerfirma som utvikler en helseapp, og vi er helt avhengig av å samle inn ganske mye data for å kunne gi en god diagnose. Så jeg står virkelig i den skvisen der jeg er helt enig med Tekna, men der jeg på universitetet og som gründer vil ha så mye data som mulig. Da må jeg huske at jeg skal gjøre en etisk refleksjon, ikke samle inn mer data enn vi har behov for og være bevisst på hvordan vi håndterer dataene.»

Randeberg har også et annet eksempel fra egen forskning.

«Jeg var med på et europeisk forskningsprosjekt som skulle lage et smart speil, stappfullt av sensorer, som skulle henge på badet og monitorere helserisiko. Min jobb var å se på risiko for hjerte-karsykdom. Vi laget en algoritme som målte kolesterolverdiene i huden til den som sto foran speilet, noe som er veldig godt korrelert med risiko for hjerte-karsykdom. Jeg tenkte at nå gjør jeg noe bra for verden. Jeg utvikler helseteknologi som kan være nyttig og redde liv. Så slo det meg i ettertid, etter at jeg begynte å jobbe med biometri og sikkerhet: Hva hvis for eksempel en forsikringsagent tar min algoritme, som er publisert, og bruker den på ansiktsbilder fra sosiale medier for å trekke ut kolesterolverdiene. Som teknolog reflekterte jeg ikke over de mulighetene.»

Randeberg etterlyser økt kompetanse og bevisstgjøring – ikke bare for helsedata, men også for eksempel rundt algoritmer som skal analysere stordata i prediktiv sammenheng eller forvalte et lovverk. «En ting jeg tror vi diskuterer altfor lite, er rollen til utvikleren og programmereren som skriver den faktiske algoritmen.»

Goodwin er enig i at denne yrkesgruppen er viktig: «Utvikleren bestemmer hvordan algoritmen skal lages og hvilke data som skal trekkes inn. Et eksempel er fra Wisconsin i USA hvor man brukte kunstig intelligens i rettsvesenet. Den viste seg å bli rasistisk. Det var ikke sånn at utvikleren hadde sagt at du skal dømme folk som er mørk i huden strengere, men de hadde dyttet inn alt man tenkte på som relevant informasjon, som inntekt, hvor du bor i byen og så videre. I USA korrelerer det med hudfarge. Man mistet kontrollen fordi utvikleren ikke tenkte langt nok.»

Tingenes internett

Hva skjer når tingenes internett (internet of things, IOT) blir mer og mer utbygd, når vi bærer på oss stadig flere nett-tilkoblede dingser, og vi tar dem inn i hjemmene våre? Hvordan kan vi vite om dingsene samler inn data om oss, for eksempel i løsninger for smarte hjem?

«Vi er bekymret for at det i utgangspunktet er så dårlig sikkerhet i disse komponentene», sier Pretorius. «Vi legger utrolig mye ansvar over på sluttbrukerne. Du kjøper en IOT-dings som har «admin» som passord, og så står det sikkert nederst på side 17 at du må huske å bytte det passordet, men det gjør jo ingen.»

I rapporten «Personvern 2018 – tillit og følelser» har Datatilsynet undersøkt om folk stoler på dingsene sine. Det viste seg at 44 prosent var bekymret for informasjonssikkerheten og personvernet i slike produkter.

«Jeg tror nok kanskje flere enn 44 prosent burde være bekymret», kommenterer Thon. «Vi har de siste årene sjekket GPS-klokker til barn, dukker, medisinsk-teknisk utstyr som blodtrykksmålere, diabetesmålere, den type ting. Det som har vært gjennomgående er at sikkerheten har vært altfor dårlig. Det rulles ut masse velferdsteknologi, men hvis kommunene kjøper dårlig hyllevare hvor sikkerheten ikke er testet skikkelig, pådrar vi oss store sikkerhets- og personvernsproblemer.»

«Samtidig må vi tenke på at dataene også kan brukes til positive ting», minner Goodwin om. «Det er mulig å lagre dataene sikkert og bruke dem til medisin, diagnostisering og andre veldig positive ting. Vi må ikke tenke at datainnsamling i seg selv er dårlig. Dette må ikke sette en stopper for den teknologiske utviklingen.»

Hva vet myndighetene om oss?
Også norske og utenlandske myndigheter vet stadig mer om oss. Men hvor mye vet de i dag? Og hva mer bør de eventuelt få vite?

«Edward Snowden avslørte at etterretningstjenesten i USA har vært inne i de sosiale nettsamfunnene», sier Thon. «De norske etterretningstjenestene har antageligvis ikke vært inne, men det kan gis kjennelser fra norske domstoler som gir Politiets sikkerhetstjeneste, PST, tilgang til norske brukeres Facebook-konto. Men jeg synes politiet skal ha god mulighet til å bruke data som er samlet inn, så lenge det skjer etter rettskjennelser og grundige, gode prosesser.»

«Vi mangler et myndighetsinnsyn i norsk nett», sier Pretorius. «Hvis en bil kommer til Norge, kan tollvesenet gjøre noe på grensen, og politiet kan gjøre noe på veien. Det er mange barrierer inn til deg og meg og bedriftene. De barrierene finnes ikke i det digitale rom. Fem milliarder internettbrukere når helt frem til brannmuren i kjelleren. Det er ikke heldig. Det er et mulighetsrom som de kriminelle har fordel av. Myndighetssiden må ha verktøy som gjør at de kan ta en rolle i å sikre deg og meg bedre enn i dag.»

Et slikt verktøy, som ble foreslått av det såkalte Lysne II-utvalget i august 2016, er et såkalt digitalt grenseforsvar (DGF). Utvalgets forslag er at etterretningstjenesten bør få tilgang til å overvåke datatrafikk som krysser landegrensene, innenfor gitte begrensninger.

Men verken Datatilsynet eller Tekna vil stille seg bak forslaget.

«Det som er alvorlig med det digitale grenseforsvaret – og datalagringsdirektivet – er at de samler inn data om folk før de har gjort noe galt. Dette er et føre-var-lager. De skal lagre data om nesten alle norske borgere i 18 måneder. Da setter du hele befolkningen under mistanke. To rettsavgjørelser fra EU-domstolen om datalagringsdirektivet, som ikke er så ulikt digitalt grenseforsvar, har sagt at det kan gi befolkningen en følelse av å være under kontinuerlig overvåkning.»

«Lysne II-rapporten er velskrevet og lesbar», sier Randeberg. «Men det er teknologiske blindsoner som ikke er godt nok behandlet i rapporten. Faktorer som kunstig intelligens og stordata-analyse er omtrent ikke nevnt. Et annet punkt er kryptering, som rapporten bare så vidt omtaler. Men mer og mer data er kryptert, og det er en utfordring i alle fall for innholdsdata – kanskje ikke like mye for metadata. Men her sauser man sammen. For å ta terror trenger du innholdsdata. For å stoppe cyberangrep kommer du i mål med metadata. Lysne II kommer med ett svar, én mulig løsning. Hvorfor ikke diskutere alternative løsninger? Med én løsning får vi ikke en veldig bred teknologisk fundert diskusjon om hva som teknologisk mulig og etisk forsvarlig.»

Thon poengterer at metadataene som det digitale grenseforsvaret er tenkt å lagre, kan være veldig avslørende for hvordan vi lever livene våre. «Det kan være kontakt med helsepersonell, kilder som har vært i kontakt med journalister, varslere, folk som har ringt selvmordstelefon eller søkt på abortklinikk. Å lagre dette er et altfor stort inngrep i privatlivet og personvernet.»

Ser storebror oss?
Til slutt: Er vi på vei mot et storebror-ser-deg-samfunn?

«Nei, vi er ikke det», mener Thon. «Med et storebror-ser-deg-samfunn tenker jeg på George Orwell og «1984», et ufritt samfunn. Vi er et av de mest velfungerende, frie samfunnene på kloden. Men som min kollega Catharina Nes har skrevet, har vi ikke en storebror, men mange småbrødre. Det er mange som vet ganske mye, men det er fortsatt ganske spredt rundt. Det nye regelverket gjør at vi kan demme opp, rykke litt tilbake, ta et par av de tingene som er fælt, og forhåpentligvis beholde det som er bra.»

«Til en viss grad er vi der», mener Goodwin, «hvis storebror ikke er myndighetene, men for eksempel Facebook. Det er vanskelig å ikke være på Facebook, og de dataene som samles inn har enormt mye makt.»

«Vi lever ikke i et storebror-ser-deg-samfunn innenfor rammene av det norske samfunnet», sier Pretorius. «Men alle lands etterretningstjenester har blankofullmakt til å spionere på nordmenn. Alle etterretningstjenester har det sånn at de ikke kan spionere på egne borgere, men alle andre. Der finnes det en storebror-dimensjon. De bruker ikke kapasitet på alle, men i den grad du er interessant, har du en storebror.»

«Noen ser oss», avslutter Randeberg. «Men vi vet ikke hvem det er.»

 

Synes du dette er interessante temaer? For utfyllende diskusjoner, se video-opptakene som ligger lenger oppe på denne siden, hentet fra Tekna-arrangementet «Hva vet internett egentlig om deg?» Første video er en innledning av Peggy S. Heie. Deretter følger to videoer fra en paneldebatt med Bjørn Erik Thon, Hans Christian Pretorius, Morten Goodwin og Lise Lyngsnes Randeberg. Møteleder var Inge Harkestad fra Tekna.

Møtet ble arrangert av Tekna Ung Oslo, Tekna Student i Oslo og Tekna Big Data.

Se også opptak fra tidligere arrangementer i regi av Tekna Big Data.