Artikkel

Personvern på prøve: Den skjulte risikoen ved innsyn

Retten til innsyn etter GDPR artikkel 15 er en forutsetning for at den registrerte skal ha den nødvendige kontrollen over egne personopplysninger. Likevel er det ikke til å stikke under en stol at håndtering av innsynsretten kan være utfordrende, og at feiltrinn kan medføre stor risiko for den registrerte og for virksomheten. Den økte bruken av kunstig intelligens kompliserer bildet ytterligere. Vi ser nærmere på fallgruver ved håndtering av innsynsforespørsler og hvilke nye utfordringer bruken av kunstig intelligens medfører.

Publisert: 16. april 2024

Risikoen for misbruk av innsynsretten

Retten til innsyn er en grunnleggende personvernrettighet som alle virksomheter som behandler personopplysninger er pålagt å ivareta. Seks år etter at GDPR trådte i kraft, opplever mange et økende antall innsynsforespørsler.1

Håndteringen av en innsynsforespørsel kan være utfordrende, både fordi det er korte frister for håndtering og fordi sentrale deler av virksomhetens styringssystem settes på prøve – med andre ord er det mye som kan gå galt:

Et internasjonalt teknologiselskap i sterk vekst, CyberCrafters AS, mottar en innsynsforespørsel fra en tidligere ansatt. Selskapets nye personvernombud som mottar forespørselen kaster seg rundt, får med seg IT, HR, regnskap og flere på en digital leteaksjon og svarer raskt på henvendelsen med all informasjon organisasjonen har funnet. Dagen er reddet og GDPR-kravene er ivaretatt. Et par uker senere, tar personvernombudet kontakt med vedkommende som ba om innsyn for å høre hvordan det gikk. Den tidligere ansatte kan imidlertid ikke huske å ha bedt om innsyn og har heller ikke mottatt opplysninger fra den tidligere arbeidsgiveren. Det viser seg nemlig at innsynsforespørselen ikke kom fra den ansatte, men fra en ukjent aktør med helt andre hensikter. Innsynsforespørselen ble brukt som en metode for å få tilgang til konfidensiell informasjon om en tidligere ansatte og informasjon om en viktig HR-løsning virksomheten hadde utviklet internt med tanke på å senere gå ut i markedet. Virksomheten har ikke noe annet valg enn å melde saken til Datatilsynet, og risikerer samtidig medieoppslag, tapt konkurranseevne, svekket tillit fra kunder, ansatte og andre, samt tilsyn fra Datatilsynet.

Scenarioet er dessverre ikke urealistisk. Med unntak for enkelte bransjestandarder, må virksomheten vurdere hva som er nok for å sikre identiteten til den som krever innsyn i det konkrete tilfellet og deretter finne ut av hvilken informasjon den er pålagt å utlevere og hva den kan holde tilbake. Dette kan by på vanskelig vurderinger.

Forskning viser at innsynsforespørsler lett kan forfalskes og at mange virksomheter har dårlige rutiner. I en undersøkelse fra 2019 sendte forskerne innsynsforespørsler til over 150 selskaper for å finne ut om de kunne bruke fiktive innsynsforespørsler for å få tilgang til andres personopplysninger.2 Resultatene var blandet. Omtrent en fjerdedel av selskapene som ble kontaktet, svarte aldri på forespørselen, og flere mente at GDPR ikke gjaldt for dem. To tredjedeler av virksomhetene som faktisk svarte, gjorde det uten å sikre at opplysningene ble utlevert til riktig person, og på slik måte at man kunne forstå om en noen var medlem i organisasjonen eller brukte en tjeneste. Å utlevere opplysninger om medlemskap og bruk av tjenester til feil person kan ha store negative konsekvenser for den det gjelder, for eksempel hvis tjenesten er en utroskapsplattform eller man er medlem i en forening for en utsatt minoritet.

En senere undersøkelse viste at omtrent 9 % av virksomhetene leverte ut personopplysninger uten å bekrefte identiteten til den som ba om innsyn.3 Dette viser hvor viktig det er at håndtering av innsynsforespørsler er en del virksomhetens strategi for overholdelse av personvernregelverket og ansvarlig informasjonsforvaltning.

For å unngå å komme i en lignende situasjon som CyberCrafters AS eller virksomhetene fra eksemplene over, er det særlig tre risikoområder som bør være under kontroll, og det tredje er særlig viktig hvis virksomheten skal bruke kunstig intelligens:
 

1. Sikre riktig identitet

Virksomheten som mottar en innsynsforespørsel, må sikre at vedkommende som krever innsyn faktisk er personen den utgir seg for å være. Derfor kan det være behov for å innhente mer informasjon om den som ønsker innsyn. Samtidig må virksomheten ivareta prinsippet om dataminimering, som tilsier at ytterligere informasjon kun skal innhentes dersom det er helt nødvendig. På denne bakgrunn kan det oppstå et spenningsforhold mellom prinsippet om dataminimering og virksomhetens behov for å verifisere identiteten til den som ber om innsyn.

Når den registrerte bruker en sikker innloggingsløsning for å få tilgang til personopplysningene, er det enkelt. På nav.no kan man for kan eksempelvis logge seg inn for å se mange av opplysningene NAV har registrert.
 

Ikke alle virksomheter bruker innloggingsløsninger, og som regel vil løsningene heller ikke dekke alle virksomhetens behandlingsaktiviteter, for eksempel behandling av opplysninger om ansatte eller når personopplysningene er en del av ustrukturert data. I disse tilfellene er det særlig tre punkter å ta med i betraktning for hver behandlingsaktivitet innsynsforespørselen gjelder.

  • Vurder hvilken ytterligere informasjon som kreves for å bekrefte identiteten og vurder risikoen dersom personopplysningene utleveres til feil mottaker. Hvis innsynsforespørselen gjelder behandlingsaktiviteter som omfatter særlig kategorier av personopplysninger som for eksempel helseopplysninger kreves ytterligere forsiktighet.
  • Ta i betraktning informasjon virksomheten allerede behandler om den som ber om innsyn. I noen tilfeller kan det være tilstrekkelig å stille sikkerhetsspørsmål med utgangspunkt i tilgjengelige opplysninger for å bekrefte identiteten, som for eksempel kundenummer.
  • Be om offisielle identifikasjonspapirer, som pass, bankkort, eller førerkort, kun når det er helt nødvendig for å sikre identiteten i det konkrete tilfellet. Tilleggsopplysninger som er nødvendig for å sikre identitetene skal ikke brukes til andre formål og lagres på en sikker måte med tilstrekkelige tilgangsbegrensninger.

2. Innsyn avslører flere personvernbrudd

En person som først krever å få innsyn, kan i større grad enn andre være motivert til å klage videre til tilsynsmyndigheten, særlig dersom svaret ikke står til forventningene. Mange av klagene til tilsynsmyndighetene gjelder nettopp innsyn. Vi vet ikke hvor mange klager Datatilsynet får etter innsynsforespørsler i Norge, men den britiske tilsynsmyndigheten mottok over 15 000 klager som gjaldt innsyn i 2022.4

En klage til Datatilsynet kan føre til kontroll, særlig dersom svaret til den registrerte har åpenbare mangler eller hvis det kommer flere klager om samme virksomhet på kort tid.

Innsynsforespørsler kan avdekke personvernmangler i virksomheten på flere måter:

  • Rutinemessige og standardiserte svar på innsynsforespørsler kan vise at virksomheten ikke har tatt faktisk stilling til innsynsforespørselen, noe som er et brudd på kravene i GDPR artikkel 15. Dette kan indikere en manglende forståelse av regelverket og manglende etterlevelse av andre personvernkrav.
  • Svaret på innsynsforespørselen kan vise at virksomheten mangler oversikt over behandlingen av personopplysninger. For eksempel ved at virksomheten ikke klarer å finne ut av hvor de har de konkrete personopplysningene lagret, og dermed utleverer en oversikt over personopplysningene som den registrerte vet at ikke stemmer.
  • Dersom virksomheten utleverer personopplysningene på en utrygg måte, for eksempel ved å sende dem ukryptert over e-post, kan det tyde på manglende rutiner og kontroll på informasjonssikkerhet.
  • Manglende svar eller oppfølging av innsynsforespørselen kan vitne om både dårlig kunnskap om personvernregelverket og manglende personvernrutiner.

Som et praktisk eksempel fra nyere tid kan nevnes boten på 10 millioner kroner som treningskjeden Sats mottok i 2023. Bakgrunnen for boten var brudd på flere bestemmelser i GDPR som gjelder de registrertes rett til innsyn, informasjon, sletting og manglende behandlingsgrunnlag. Datatilsynet iverksatte undersøkelser basert på mottatte klager fra registrerte om at Sats ikke etterkom krav om innsyn og sletting.5

3. Å forklare kunstig intelligens ved automatiserte avgjørelser

Stadig flere virksomheter tar i bruk kunstig intelligens for å automatisere eller effektivisere prosesser eller som beslutningsstøtte. Dersom kunstig intelligens brukes for å automatisere beslutninger som har rettsvirkning for den enkelte, spesifiserer GDPR artikkel 15 (1) (h) at den som ber om innsyn har rett til å få «relevant informasjon» om beslutningen, inkludert om den underliggende logikken, samt betydningen og de forventede konsekvensene. I praksis betyr dette at virksomheten bør gi tilgang til konkret informasjon om datagrunnlaget som brukes for beslutningstakingen, i tillegg til faktorene og kriteriene som påvirker avgjørelsen. I tillegg bør virksomheten opplyse om de egnede tiltakene som skal ivareta den registrertes rettigheter, typen menneskelig inngripen, måtene den registrerte kan uttrykke sitt synspunkt på, og bestride avgjørelsen i tråd med kravene i GDPR artikkel 22 (3).

Dette kan imidlertid by på utfordringer. For det første kan det være vanskelig å gi klar og tydelig informasjon om hvordan et KI-system er bygget opp og hvordan det fatter beslutninger når den som er mottaker av informasjonen ikke har spesialkunnskap. For det andre må virksomheten unngå å gi så mye og kompleks informasjon at den registrerte ikke forstår hvordan personopplysningene behandles. Dette kan være i strid med GDPR, og føre til mistillit og usikkerhet.

I stedet for å gi direkte innsyn i hvordan algoritmer eller maskinlæring fungerer, kan virksomsomheten kommunisere informasjonen om KI-løsningen til den registrerte på andre måter. For eksempel kan man gi informasjon om hvilke personopplysninger som har blitt, eller vil bli brukt, i beslutningsprosessen, hvorfor disse opplysningene anses som relevante, hvilken data eller statistikk som brukes i den automatiserte beslutningsprosessen og hvordan, samt hvordan eventuell profilering er relevant for den automatiserte beslutningsprosessen. I tillegg bør virksomheten vurdere andre måter å formidle informasjonen på enn tekst, for eksempel ved visualisering og illustrasjoner. Slik er det lettere å tilpasse informasjonen til ulike mottakere. Virksomheten bør vurdere å utarbeide dokumentasjonen av KI-løsningen mens den utvikles, for å kunne gi en fullstendig forklaring på hvordan KI-løsningen kom frem til en beslutning.

Til slutt er det også en risiko for at informasjon om KI-systemet og bruken av det kan avsløre beskyttelsesverdig informasjon som forretningshemmeligheter. Regelverket tar imidlertid hensyn behovet for konfidensialitet dersom retten til å få utlevert personopplysninger går ut over andres rettigheter og friheter, herunder forretningshemmeligheter eller immaterielle rettigheter. Unntaket gjelder både for virksomhetens egne rettigheter og andres rettigheter.
 

Vær proaktiv, gjennomfør øvelser og lag rutiner!

Manglende kontroll over håndtering av innsynsforespørsler kan medføre svekket tillit hos kunder og partnere, i tillegg til risiko for personvernbrudd. I et stadig mer teknologibasert samfunn hvor trusselaktørene blir smartere, og hvor det er stor bevissthet knyttet til individets rettigheter, er det ikke tid til å være reaktive. Proaktive tiltak er avgjørende for å sikre at de registrerte får oppfylt sine rettigheter på en god og effektiv måte, samt redusere potensiell risiko knyttet til innsynsretten.

Det er viktig å opprette brukervennlige kanaler for innsynsforespørsler, og ha oversikt over alle personopplysninger som behandles. Faktisk overholdelse av personvernregelverker er viktig, men overholdelsen må også dokumenteres. Rutiner for håndtering av innsynsforespørsler må utarbeides, som inkluderer fremgangsmåte for å;

  • Konkretisere eller spesifisere forespørselen ved behov
  • Verifisere identitet til vedkommende som ber om innsyn
  • Overholde tidsfristen for besvaring av innsynsforespørselen
  • Handle i tråd med prinsippet om dataminimering og god informasjonssikkerhet
  • God oversikt over hvilken informasjon som skal utleveres og hvilken informasjon som kan holdes tilbake

Rutinene som utarbeides må også implementeres i virksomheten. En hensiktsmessig ansvarsplassering må identifiseres og operasjonaliseres, og de ansatte i virksomheten må få opplæring i når, og hvordan, rutinen skal følges.

I tillegg er jevnlige gjennomganger og oppdateringer av retningslinjer og rutiner avgjørende, og særlig ved teknologiske fremskritt og regulatoriske endringer. Hva har fungert bra og hva har fungert mindre bra og nødvendiggjør endringer?
 

Deloitte Advokatfirma kan bistå!

Deloitte Advokatfirma har ustrakt erfaring med personvernregelverket, og kan bistå virksomheter med å strømlinjeforme prosedyrer og rutiner for håndtering av innsynsforespørsler, og oppfyllelse av øvrige personvernkrav.
Ønsker du mer informasjon om innsynsretten? Deloitte Advokatfirma har tidligere skrevet en artikkel om Personvernrådets (EDPB) veileder om innsynsretten, som blant annet omhandler hvilke personopplysninger den registrerte kan få innsyn i og hvordan virksomheter kan gi innsyn (metodevalg).

Les artikkelen her.
 

160% av virksomhetene som deltok i EY Law survey 2023 oppgav et økende antall innsynsforespørsler i 2023
2Pavur, J., and Knerr, C. GDPArrrrr: Using Privacy Laws to Steal Identities. CoRR abs/1912.00731 (2019).
3Luca Bufalieri, Massimo La Morgia, Alessandro Mei, Julinda Stefa: GDPR: When the Right to Access Personal Data Becomes a Threat, Department of Computer Science, Sapienza University of Rome, Italy (2020).
4Information Commissioner’s Office, “It’s important not to get caught out.” - New SARs guidance for employers issued , 24. mai 2023
5Datatilsynet, Administrative Fine - SATS ASA, 06. februar 2023, 20/02422-9, 


 

Var denne siden nyttig?