Vi har aldri levd så sporbare liv som vi gjør i dag. Vi legger igjen personopplysninger når vi bruker nettbaserte tjenester, reiser kollektivt, kjører bil, kommuniserer med mobilen og handler i butikken. Med utviklingen innen sensorteknologi vil datamengdene som samles inn om oss øke ytterligere i omfang. Små, nærmest usynlig sensorer kan bæres på kroppen eller festes på alle tingene rundt oss. Disse sensorene vil kunne laste opp enda mer detaljerte opplysninger i nettskyen om våre vaner, interesser og livsstil.
Stadig flere kommersielle virksomheter og myndigheter oppdager at det ligger store verdier i å utnytte disse enorme datastrømmene. Big Data kan brukes til mange gode og samfunnsnyttige formål. Innsamling og analyse av data fra mange ulike kilder kan for eksempel brukes til å forutsi spredning av epidemier, til å oppdage alvorlige bieffekter av medisiner og til å bekjempe forurensing i storbyer. Bruk av anonymiserte og aggregerte data utfordrer i utgangspunktet ikke personvernet.
«Computer says no»
Men Big Data kan også brukes slik at det berøre enkeltindivider direkte. Utstrakt bruk av profilering og analyseteknikker for å forutsi folks atferd kan få uheldige konsekvenser for enkeltindividet. I enkelte sammenhenger ønsker vi personaliserte tilbud, som for eksempel når Amazon foreslår akkurat de riktige bøkene til oss. Men bruk av den «perfekte» personalisering i stadig nye sammenhenger kan også føre til diskriminering hvis den systematisk gir enkelte grupper i samfunnet bedre tjenester og tilbud fremfor andre grupper. Ved bruk av automatiserte, algoritmestyrte avgjørelser er det en fare for at vi ikke lengre blir vurdert ut ifra hva vi gjør, men ut ifra hva alle dataene vi har lagt igjen sier at vi sannsynligvis vil komme til å gjøre. Enkelte har omtalt dette som «dataenes diktatur»(1). Diskriminering på bakgrunn av statistiske analyser kan dermed også bli et spørsmål om personvern.
Big Data utfordrer flere sentrale personvernprinsipper, og i særlig grad prinsippene om formålsbestemthet og dataminimalisering. Vi mener likevel ikke disse prinsippene, som er nedfelt i personopplysningsloven, er til hinder for å kunne utnytte mulighetene som ligger i analyse av store datamengder. Virksomheter som bryter med disse prinsippene risikere dessuten å miste tillit hos kunder og brukere. Når folk avgir sine personopplysninger, gjør de dette fordi de har tillit til at opplysningene ikke brukes til andre formål enn det virksomheten har oppgitt. En undersøkelse gjennomført av Datatilsynet på tampen av 2013, viser at folk er mer opptatt av personvern i dag enn for noen år siden, og at folk synes det er viktig å ha kontroll over egne personopplysninger (2). Så hva bør norske virksomheter som går i gang med Big Data-analyse særlig tenke på?
Bruk av data til nye formål
Big Data handler i stor grad om gjenbruk av data. Virksomheter som for eksempel Google er bygget opp rundt å bruke allerede innsamlede data til nye formål. Dataene vi legger igjen bruker de til å forbedre tjenestene sine, til markedsføring eller til å utvikle helt nye tjenester. Det finnes også virksomheter som lever av å samle inn personopplysninger fra sosiale nettsteder, mobilapplikasjoner og kundekort, som de analyserer og selger videre til for eksempel markedsførere, butikkjeder og forsikringsselskap. Slik bruk av data kan være problematisk i lys av personopplysningsloven. Den sier at innsamlede data ikke skal brukes til formål som er uforenlige med innsamlingsformålet, med mindre den registrerte samtykker til slik bruk. Det innebærer for eksempel at hvis opplysninger folk har lagt inn på sosiale medier brukes til å vurdere deres helserisiko eller forsikringspremie, så skal dette kun gjøres hvis de registrerte har samtykket til slik videre bruk av opplysningene.
I tilfeller der det er vanskelig eller umulig å be om samtykke, kan en løsning være å anonymisere dataene. Anonyme data er ikke lenger regnet som personopplysninger, og videre bruk av anonyme data faller derfor utenfor personopplysningsloven. Det er imidlertid viktig å sørge for at anonymiseringen av dataene er tilstrekkelig sikker. En av de virkelig store utfordringene ved Big Data er risikoen for reidentifisering. Gjennom sammen-stilling av data fra flere kilder kan det oppstå risiko for at enkeltindivider kan identifiseres fra i utgangspunktet anonyme datasett. Dette kan forebygges blant annet ved å foreta en grundig risikoanalyse i forbindelse med anonymisering av datasettene.
Ingen nål uten høystakk
Et annet viktig personvernprinsipp er at det ikke skal samles inn og lagres mer data enn hva som er relevant og nødvendig for for-målet med behandlingen. Big Data representerer på mange måter selve antitesen til dette prinsippet. Big Data handler om å analysere så store datamengder som mulig. Tanken er at jo større høystakk man har, jo bedre, mer innsiktsfulle – og økonomisk innbringende – analyseresultater vil man kunne hente ut. Ved å kombinere ulike datakilder håper man å finne uventede korrelasjoner, for eksempel mellom folks livsstil og kredittverdighet. Men det at det er mulig å innhente en hel masse ulik informasjon om enkeltindivider, betyr ikke nødvendigvis at denne informasjonen er relevant når det kommer til å vurdere disse enkeltpersonenes kredittverdighet. Det at man finner en korrelasjon i et datamateriale, gjør ikke disse dataene retrospektivt relevante å innhente for formålet. Organisasjoner som går i gang med Big Data-analyse, må derfor fra starten ha klart for seg hvorfor de ulike opplysningene samles inn. Hvilken kunnskap forventer man å trekke ut av analysen? Utfordringen blir å formulere et klart og tydelig formål med behandlingen av personopplysningene.
Den teknologiske utviklingen gjør det mulig å lagre stadig større datamengder. Samtidig blir kostnadene forbundet med å lagre data stadig lavere. Det er i dag nesten billigere å lagre data enn å slette data. I Big Data-sammenheng blir det å slette data nesten det samme som å slette penger. Person-opplysningsloven krever at data skal slettes når formålet er oppnådd. Kravet om data-minimalisering vil kunne sette en stopper for storstilt innsamling og lagring av data som er motivert av datasettenes potensielle verdi i fremtiden. En mulighet for virksomheter som ønsker å beholde data for senere analyse er, som nevnt over, å anonymisere opplysningene.
Dårlig personvern har konsekvenser
Har det noe å si om vi ikke vet hvordan alle opplysningene vi legger igjen blir brukt en gang i fremtiden? Hvis vi får en utvikling der kredittscore og forsikringspremier baseres på nær sagt alle opplysninger vi legger igjen i ulike sammenhenger på nett og ellers i dagliglivet, kan dette få konsekvenser for personvernet, og hvordan vi oppfører oss. Om ti år er det kanskje slik at barna våre ikke får forsikring fordi vi har delt på sosiale nettverk at vi er disponert for en arvelig sykdom. Dette kan føre til at vi legger bånd på hvordan vi deltar i samfunnet, eller aktivt tilpasser våre handlinger – både på Internett og ellers. Vi kan komme til å frykte at sporene vi legger igjen i ulike sammen-henger kan påvirke fremtidige beslutninger knyttet til mulighet for å få jobb, lån, forsikring, etc. Dette fenomenet omtales som «nedkjølingseffekten». Den dagen folk ikke tør å ringe for å bestille time hos psykologen eller en gammel venn som har sittet i fengsel, fordi de frykter det kan brukes mot dem, har vi mistet en vesentlig samfunnsverdi. Da kan det være for sent å snu utviklingen.
Enkelte hevder at personvernprinsippene om formålsbegrensing og dataminimalitet ikke er liv laga i en tidsalder preget av Big Data. Dette er Datatilsynet ikke enig i. Vi mener tvert imot at et vern om disse prinsippene er viktigere enn noen gang i en tid der stadig flere opplysninger om oss samles inn. Prinsippene er vår garanti mot å bli gjort gjenstand for profilering i stadig nye og flere sammenhenger.
Referanser
1. Mayer-Schönberger, V. og Cukier, K. (2013), «Big Data. A Revolution That Will Transform How We Live, Work and Think», John Murray, London
2. Opinion Perduco gjennomførte i november 2013 en undersøkelse via webpanel. Til sammen svarte 1501 innbyggere, i alderen 15 år og oppover på undersøkelsen.