Året 2024 har startet med vedvarende høye renter, spennende teknologiske fremskritt og tilhørende regulering, valg i både USA og EU, og krig og elendighet i ulike deler av verden. Dette kan igjen påvirke prioriteringer personvernet og rettslig utvikling og implementering får hos politikere, lovgivere og organisasjoner. Det er derfor grunn for oss i Knowit Cybersecurity & Law til å stikke fingeren i himmelen og spå hvor personvernvinden vil blåse i 2024. I løpet av første kvartalet av 2024 har vi deltatt på tre ulike webinarer hvor personverneksperter verden over har diskutert hvilke forventninger de har for 2024. I denne artikkelen tar vi for oss noen av de mest gjentagende og sentrale prediksjonene for 2024.
Det kan på dette tidspunktet oppfattes som et godt slitt tema, men AI står fortsatt høyt på agendaen både i næringslivet og offentlig sektor. Fenomenet engasjerer både entusiaster og skeptikere. På den ene siden er det positivt at AI forbedre, effektivisere og automatisere mange prosesser som inntil nylig var menneskets eksklusive domene. På den andre siden omtales det som en negativ konsekvens at AI kan tenkes å erstatte et stort antall profesjoner. Økt arbeidsledighet er ikke den eneste ulempen, som vi tidligere har skrevet om i denne bloggen; en uaktsom eller forsettlig bruk av ulike AI-teknikker kan føre til omfattende restriksjoner på personvernet. Nærmest for hånden er muligens deep-fakes som har florert og skildret prominente skikkelser som paven, Donald Trump og Tom Cruise. Tanken med dette blogginnlegget er imidlertid ikke å slå opp dører, men å bidra med nyttige observasjoner til arbeidet med personvern i 2024.
Tre webinarer om 2024
Vi deltok virtuelt på webinaret Privacy 2024 - What to expect, som samlet en rekke eksperter innenfor personvern. Paneldebatten handlet dels om hvilke endringer vi kan forvente i løpet av året, og dels om hvilke endringer fagpersoner innen fagområdet ønsker at lovgiver skal ta på alvor hvordan holdningen hos både offentlig og privat virksomhet bør endres. Det var bred enighet i panelet om at det i 2024 skulle legges stor vekt på sikker bruk og utvikling av AI, noe som kan sies å ligge i god tid. Panelet hadde bekymringer knyttet til at en forhastet utarbeidelse av AI reguleringen kunne medføre at personvernet ikke ble ivaretatt på tilstrekkelig vis. Samtidig er det stemmer som mener at lovgivningsprosessen tar altfor lang tid. Det ble også nevnt at AI-systemer som etter AI forordningen ikke involverer uakseptabel risiko kan tenkes å være uforenlig med europeisk personvernlovgivning, uansett hvor mye man vrir og snur på saken. Eksempelet som ble nevnt er store språkmodeller og deres form for opplæring. Det er etter alt å dømme uunngåelig at store mengder personopplysninger må inkluderes i grunnlaget for opplæring av disse systemene. Hvilket behandlingsgrunnlag som kan ligge til grunn for slik behandling er langt fra åpenbart. I tillegg vil det være tilnærmet umulig å oppfylle den registrertes rettigheter til for eksempel innsyn og sletting.
En annen bekymring som ble diskutert under webinaret var at dark patterns antas å bli brukt i større grad ved hjelp av AI-teknologi. Dark patterns kan forklares som et brukergrensesnitt som er nøye utformet for å lure brukere til å gjøre ting. Et eksempel kan være at Godta-knappen på et informasjonskapselbanner har en annen farge enn avslå- knappen, ofte grønn, som oppleves som mer innbydende. Dette eksempel vil kunne være i strid med frivillighetskriteriet som GDPR oppstiller for gyldig samtykke. Foredragsholderne gikk ikke nærmere inn på hvordan AI kan brukes til å villede enkeltpersoner på en måte som fører til at deres personopplysninger behandles på en uforutsigbar måte. Vi finner det imidlertid som en rimelig oppklaring; det er ikke utenkelig at et AI-verktøy for eksempel kan brukes til å lese og analysere et individs atferdsmønstre og hvordan det tar inn og reagerer på bestemte mønstre og deretter individualisere innhold på nettsider, noe som igjen fører til at individet ubevisst deler mer personopplysninger enn den hadde til hensikt, eller på annen måte ikke handler i sin egen beste interesse. Det er imidlertid en viktig balansegang for lovgiver å nærme seg når det gjelder å beskytte innbyggerne og deres personvern på den ene siden og ivareta næringsfrihet og teknologisk innovasjon på den andre.
Det andre webinaret vi lyttet til var Research Priorities & predictions for privacy and AI governance. Arrangementet ble ledet av IAPPs forsknings- og innsiktsteam hvor de diskuterte prioriteringer og prognoser innen områdene personvern og AI. Panelet var enige om at 2024 vil bli året da problemstillinger settes ut i livet og utfordringen med å tilpasse det økende mangfoldet av lover, politikk og den generelle teknologiske utviklingen. Overgangen fra adopsjon til implementering står på agendaen for EUs institusjoner og utvikling av godt styresett i organisasjoner vil være avgjørende for etterlevelse av regelverk. I tråd med selskapers styring av personvernstrategi er det viktig at styringen av AI-bruk ikke er isolert. Fremover bør fokus, både globalt og nasjonalt, i ulike sektorer og internt i organisasjoner, være på å tenke helhetlig. Dette inkluderer koordinering av regelverk og implementering av effektiv styring parallelt med teknologisk utvikling. Totalt sett tar vi med oss fra webinaret at det fortsatt kreves nøye koordinering og klare retningslinjer for å møte de komplekse utfordringene knyttet til både AI og personvern.
Det tredje webinaret vi hørte på var IAPPs Data Privacy Day og 2024 Predictions hvor paneldeltakerne kom fra både store private aktører som IBM og Mastercard, men også tilsynsmyndigheten for personvern i USA, Federal Trade Commission. De kom opp med følgende tre poeng som de viktigste for året 2024:
På første plass var om det endelige utkastet til AI-forordningen vil bli godkjent av parlamentet i april, hvis ikke tidligere med detaljerte endringer fra Frankrike. Det kan sies å være en forventet, men rimelig konklusjon tatt i betraktning hvilken effekt det kan ha for alle interessenter.
På andreplass kom håndtering og implementering av ny digital EU-lovgivning, dvs. alle rettsaktene vedtatt i forbindelse med EUs digitale tiår. Her delte paneldeltakerne sine erfaringer fra den respektive organisasjonen der de selv hadde hovedansvaret for å overvåke, administrere og administrere personvernet i den respektive organisasjonen. De uttalte at et sentralisert team bør være ansvarlig for å vurdere personvernrisikoer så vel som risikoene ved bruk av teknologi som AI. Ved å sentralisere ansvaret til ett team, trenger interne interessenter kun å forholde seg til en enkelt vurdering som tar hensyn til overholdelse av flere lover og perspektiver, i stedet for å drukne i ulike vurderinger og kontakt med ulike avdelinger.
De to poengene som ga en delt tredjeplass utforsket personvern fra ulike faglige perspektiver. En deltaker fra panelet foreslo å bruke internasjonale standarder som et verktøy for å implementere regelverket, som for eksempel AI-forordningen, fordi det nye regelverket vil variere avhengig av geografisk område (for eksempel EU vs. USA). Til tross for dette vil det ifølge paneldeltakerne være en viss interoperabilitet gjennom ulike standarder som ISO og NIST og dermed koble regelverket sammen. Det andre punktet som kom på delt tredjeplass er det faktum at det er en trend at personvernteam rapporterer om de miljømessige, sosiale og styringsmessige aspektene ved selskapets digitale fotavtrykk, som også påvirker selskapets karbon- og CO2-utslipp, samt selskapets økende bruk av data som er lagret på ulike geografiske steder. En fellesnevner mellom personvern og miljø er, for eksempel på den ene siden etterlevelse av prinsippet om dataminimering og på den andre siden energiforbruk som følge av lagring av data i serverhaller.
Et tilleggsperspektiv som vi i Knowit Cybersecurity & Law har diskutert er det faktum at praksis på personvernområdet har utvidet seg med et stort antall avgjørelser fra EU-domstolen, noe som er vesentlig forskjellig fra tidligere år. Dette har igjen avklart rettstilstanden for en rekke ulike avveininger som tidligere var gråsoner hvor vi som jobber med disse spørsmålene har vært nødt til å utvise en viss varsomhet. Dette har sannsynligvis sin hovedforklaring i det faktum at personvern er et relativt ungt rettsområde; ideene om retten til personligvern ble ikke prioritert i utviklingen av romerretten, i motsetning til for eksempel kontraktsretten og strafferetten, som har mer enn 2000 års historie. Denne usikkerheten preger mye av personvernlovgivningen og har blitt en nærmest selvinnlysende del av arbeidet med sakene, og håpet er at domstolen vil fortsette i dette tempoet eller til og med skifte til et annet gir. Imidlertid er det nok allerede mulig å si at 2024 ikke blir året vi får en gjennomgående krystallklar rettssituasjon; arbeidsmengden som kreves for å løse ut alle uklare deler av GDPR, må betraktes som et monumentalt foretak. Kanskje mange av de vanligste spørsmålene som fortsatt mangler et åpenbart svar på vil bli undersøkt og dette kan igjen ha en multippel effekt for mange organisasjoner og bedrifter. Dersom rettstilstanden blir klarere, vil juridisk rådgivning i sin tur bli mer effektiv fordi du da slipper å gjøre omfattende forskning på spørsmål som mangler klare svar. Man bør imidlertid forvente at tilsynsmyndigheter samtidig kan være mer offensive i sitt tilsynsarbeid dersom utviklingen av praksis følger tangentens retning; klare presedenser fører til sterkere skyts og kan medføre strengere straffer.
Alt i alt kan det sies at det er noe delte meninger om hvordan personvernområde vil endre seg i løpet av året, men en felles konsensus er at det blir et begivenhetsrikt år.