Thon gir seg i Datatilsynet: – Sett en enorm utvikling på personvern­området

Avtroppende direktør for Datatilsynet har registrert en rivende utvikling på personvernområdet. – I de årene jeg har hatt jobben har personvern gått fra å være et fag som ikke så veldig mange jobbet med, til å bli et kjempestort rettsområde. Utviklingen har vært enorm.

Bjørn Erik Thon. Foto: Tore Letvik
Bjørn Erik Thon (Foto: Tore Letvik)

Dette sier Bjørn Erik Thon, som nå slutter i Datatilsynet. Den 28. februar er han å finne som Likestillings- og diskrimineringsombud. Han overtar stillingen etter Hanne Bjurstrøm.

I godt over 11 år har Thon vært toppsjef i Datatilsynet. Vi spør om hva han tenker i forhold til juristers kompetanse når det gjelder å vurdere personvern, og interessen for feltet.

– Det har vært en bemerkelsesverdig økt interesse. Ett års tid etter at jeg begynte å jobbe i Datatilsynet var jeg på konferanser hvor jeg kanskje kjente halvparten av de som var til stede. Jeg sitter i fagutvalget for personvern i Juristenes Utdanningssenter. Når vi har personvernkonferanser nå, slik som sist da vi samlet rundt 400 deltakere digitalt og fysisk til, kjente jeg kanskje 20 av deltakerne, sier Thon.

Han forteller at de tidligere hadde kurs for de som skulle bli personvernombud.

– Hvis det kom 20-30 fremmøtte så var vi egentlig ganske fornøyd. Nå har vi ikke de kursene lenger fordi det er andre kommersielle aktører og høyskoler som driver opplæring. Og det er jo kjempebra, men et sånt kurs ville i dag antageligvis blitt fulltegnet med 100 deltakere i løpet av noen timer, sier Thon.

I sitt arbeid i Datatilsynet opplever han også samme utvikling.

– Det har vært veldig interessant å se hvordan personvern har blitt et fag som veldig mange jobber med. Vi møter utrolig mange flinke personvernjurister og personvernadvokater, sier Thon som mener det har gjort hans, og de andre ansattes jobb i Datatilsynet både enklere og mer utfordrende.

– Enklere fordi gode personvernjurister gir gode råd til klientene sine sånn at de ikke gjør noe galt. Også er det jo skjerpende fordi vi vet at når vi fatter vedtak, så er det flinke advokater som representerer den andre parten som utfordrer oss på jussen, og det er bra. Og det er selvfølgelig helt legitimt, hvis man får varsel om at man skal betale et stort gebyr, så er det klart at man går til en flink advokat og får hjelp, og det bør man også gjøre.

– Det er skjerpende for oss, og bidrar til at vi gjør en bedre jobb rett og slett. Sånn jeg ser det så har profesjonaliseringen av personvernfaget vært påfallende, og jeg vil si positivt.

Bjørn Erik Thon. Foto: Tore Letvik
Bjørn Erik Thon. Foto: Tore Letvik

– Ja, det er vel ikke gitt at man aksepterer bøter heller, så det kan vel være noen rettslige runder?

– Absolutt.

Denne artikkelen stod på trykk i Juristens temautgave om personvern. Les flere av sakene her

Digitalisering

Thon forteller at personvern også i stor grad handlet om teknolog august 2010, da han begynte i Datatilsynet.

– Og det har bare økt. Nå er veldig mye digitalisert, og digitaliseringen har hatt en voldsom påvirkning for personvernet. Både på godt og vondt. Når ting er digitalt kan det brukes til nye ting på en enklere måte, og det kan deles og gjenbrukes. Samtidig er digitale tjenester ofte bedre tjenester. Det at persondataene våre brukes til å gi oss tjenester, kan gjøre at vi får både bedre tjenester og mer treffsikre tjenester. Så det er en del gode sider ved dette.

– Digitaliseringen er en såkalt megatrend da ting har blitt mer personifisert enn det var før. I dag får vi personlig rettet reklame, vi kan få personaliserte politiske budskap og alt mulig som er personifisert.

– I løpet av de 11 årene; hva har vært den største utfordringen på dette feltet, eller den største saken?

– I takt med at digitalisering har blitt et stort felt, så har teknologigigantenes makt blitt større. Vi ser at de store big tech selskapene, som Amazon, Facebook og Google, har fått mer og mer makt og blitt mer og mer allestedsværende. Så godt som alle av oss bruker tjenester fra dem hver eneste dag, og nesten hele tiden. Det er bekymringsfullt ut fra et personvernhensyn, sier Thon som er takknemlig for at personvernforordningen (GDPR) kom.

– GDPR kom i 2018, og det har forandret veldig mye. Vi har fått både høyere bøter, mer bevissthet om personvern og folk har fått bedre rettigheter. GDPR har hatt stor betydning og har vært en av store driverne i utviklingen. Vi snakker om personvern før og etter GDPR egentlig.

– GDPR har vært veldig bra, men big tech internasjonalisering gjør at det hele ikke er så lett. Vi snakker om et norsk og nasjonalt personvern, men samtidig er personvern veldig internasjonalt. Så samarbeid mellom ulike land globalt, men særlig i Europa, er helt vesentlig for å oppnå gode resultater, sier Thon.

GDPR

I sin oppsummering av viktige erfaringer fra sin tid som leder av Datatilsynet har han flere punkter.

– Vi ser at overvåkningstrykket har økt. Det har blitt mer politiovervåkning, og det sendes stadig ut forslag om mer overvåking av befolkningen. I tillegg har cybersikkerheten blitt mer truet. De så vi eksempler på sist jul; Nortura, en hotellkjede, Nordland fylkeskommune og Amedia ble utsatt for dataangrep. Det viser hvor sårbar et digitalt samfunn er.

– Det er interessant at et slikt sikkerhetsbrudd veldig ofte skjer ved at noen trykker på et epostvedlegg eller en lenke som de ikke skal trykke på. Altså ganske enkle ting som ser proft ut, men som er et virus som sprer seg når man klikker på vedlegget. Og vi er jo ikke noe annet enn mennesker som trykker på ting som gjør oss nysgjerrige. Slike angrep er noe jeg vil kalle en trend. Det er blitt mye mer alvorlige angrep, og det har blitt flere av dem.

– Når det gjelder teknologigigantene og den utviklingen som skjer: Hvordan er det mulig å henge med? GDPR er jo bra, men klarer bedrifter å implementere dette?

– Det er nok i litt varierende grad, men det var jo ikke sånn at noen trodde at alle oppfylte lovens krav dagen etter at GDPR trådte i kraft. Men det har ført til stor oppmerksomhet om personvern, og veldig mange har gjort veldig bra arbeid.

Likevel er det stor variasjon.

– Vi har en del kontakt med store norske selskaper og store offentlige etater, som helsesektoren for eksempel, og de bruker ressurser på dette og har gjort mye riktig, sier Thon.

Men han opplever også at et er mange som ikke har brukt ressurser på personverntiltak.

– Det er mange som kanskje ikke engang har tenkt at de sitter med persondata. Undersøkelser viser at viljen til å etterleve regelverket er ganske stor, men at evnen ikke alltid er like stor. Det er også hovedinntrykket vårt.

– Vi pleier å si at det er mye bedre å gjøre litt enn ingenting. Personvern handler også om å gjøre gode vurderinger. Da er det bedre å vurdere enn å ikke vurdere. Når vi ser at man har forsøkt å gjøre personverntiltak, er det bedre enn å ikke ha forsøkt. 

Store gebyrer

– Hvordan reagerer dere når dere ser brudd på GDPR?

– Det kan variere mye. Den vanligste reaksjonen er at man får beskjed om at man har gjort noe ulovlig. Eller at man kanskje har gjort noe ulovlig, og at de må skjerpe rutinene sine og ikke gjenta det. Men de mest alvorlige sakene handler om overtredelsesgebyr eller bøter som kan bli ganske store.

Datatilsynets direktør Bjørn Erik Thon, etter at han begynte å jobben i 2010, testet en iPhone-applikasjon som ga oversikt over de  rikeste menneskene i området han befant seg i. (Foto: Eivind Griffith Brænde / VG
Datatilsynets direktør Bjørn Erik Thon, etter at han begynte å jobben i 2010, testet en iPhone-applikasjon som ga oversikt over de rikeste menneskene i området han befant seg i. (Foto: Eivind Griffith Brænde / VG)

– Når man ser på det totale antall saker, er det forsvinnende få saker som ender opp med bøter. Det aller meste av sakene vi har, handler om at man enten finner at det ikke er noe lovbrudd, eller at det er et lovbrudd som ikke får et gebyr. Man får da beskjed om å gjøre om praksisen.

Men den største boten som er gitt, er et varsel Datatilsynet har sendt selskapet Grindr, der det er varslet en bot på 65 millioner kroner.

– Det er jo et betydelig beløp, og selskapet har frist på seg til 14. februar med å klage på vedtaket, sier Thon som også forteller at det etter GDPR også ellers har blitt utstedt store bøter, eller gebyrer.

– Vi ser i Europa at det utstedes flere og flere ganske så solide gebyrer, mot spesielt store amerikanske selskaper. Noe av hensikten med personvernforordningen var da også at det skulle svi og koste å bryte loven. Da er det viktig å bruke regelverket. Jeg vil understreke at vi reagerer på veldig andre måter enn å skrive ut gebyrer, men er bevisst på at gebyrer også er et viktig virkemiddel når det er nødvendig.

– Det allmennpreventive, at det blir kjent at det blir gitt bøter når det er store lovbrudd, er det viktig?

– Ja, det er klart det skaper oppmerksomhet, så det er ingen tvil om at det har en allmennpreventiv effekt.

Ikke på Facebook

– Hvorfor er ikke Datatilsynet på Facebook?

– Det er helt bevisst. Vi har aldri vært der. Det har ikke vært så veldig aktuelt for oss å ha en Facebookside, men vi begynte å diskutere det for 3-4 år siden som et ledd i en vurdering av hvordan vi nådde ut med vår informasjon. Resultatet ble at vi ikke ønsket å gjøre det, etter grundige og nøye vurderinger. Vi stilte oss selv blant annet følgende spørsmål: Hva kommer Facebook til å bruke data fra Datatilsynets Facebook-brukere til? Det klarte vi ikke å svare på, og det er kort oppsummert årsaken til at vi sa nei til å bruke Facebook. At vi sa nei, har satt i gang ganske mye bevegelse. Det er en del aktører som nå vurderer om de skal gjøre det samme. Det er flere, ganske store aktører i offentlig sektor som vurderer om de skal fortsette å bruke Facebook.

– Er det andre institusjoner, internasjonalt eller i Europa, som tenkt i samme baner?

– Tyskland har vel hatt samme synspunkter som oss. Ellers er det en del datatilsyn i andre land som ikke er på Facebook. Men de har ikke gjort samme vurderingen som oss, men bare sagt at Facebook ikke er aktuelt å bruke for dem. Jeg tror vi er det eneste Datatilsynet som har gjort en så grundig analyse.

– Vi gikk dypt inn i problematikken da vi gjorde våre vurderinger. Jeg vil si at vi gjorde nybrottsarbeid på dette feltet. Grunnen til at vi valgte å offentliggjøre våre vurderinger, var at også andre kunne ta inspirasjon og lærdom av det vi gjorde. Og selv om andre kan gjøre andre vurderinger enn oss, så ser de i hvert fall hva vi har lagt vekt på i vår vurdering.

– Men vil det ikke være et tap i forhold til behovet for å informere? Har det vært nødvendig for dere å gire opp på egen hjemmeside eller å gjøre andre tiltak for å nå ut til publikum?

– Det kan hende man taper litt på ett område, men det vurderte ikke vi som viktig nok. Vi bruker hjemmesiden vår, vi har en twitterkonto, vi har en egen podcast som vi distribuerer på en plattform som er bra for personvernet, og vi har en personvernblogg. I tillegg er vi masse ute og holder foredrag. Vi føler at vi når godt ut.

Ungdommens bevissthet

– Hva med ungdom som vokser opp nå og som lever sine liv med sosiale medier nærmest integrert i sin hverdag, hvor det er mye som legges ut som kanskje blir liggende der nærmest til evig tid – ser du noen fare for dem i tiden som kommer?

– Det er et viktig spørsmål. Men vi må se ungdommen i dag med ungdommenes briller, og ikke våre briller. Jeg er 58 år og ser at den verden de opplever er helt annerledes enn min. At de bruker helt annerledes verktøy og måter å kommunisere på enn det jeg gjør. Vi må ikke sette likhetstegn mellom det å være veldig aktiv på sosiale medier og ikke være opptatt av personvern. Vi ser at mange unge er flinke til å ivareta personvernet, de kan mye og de lærer mye av hverandre, sier Thon.

Han peker på at det likevel finnes noen utfordringer.

– For eksempel deling av nakenbilder mot de fotografertes vilje. Det er veldig vondt for de som opplever det. Så tror jeg nok at mange foreldre kunne vært flinkere til å bry seg mer om hva barna gjør. Det betyr ikke at man må skjønne teknologien. Det gjør antagelig ikke barna heller, de bare ser at det funker og at det er gøy. Men det å stille spørsmål som: hvem er det du prater med, er det gøy, hvordan funker det – kan du fortelle meg litt? Å ha en positiv inngang til samtalen med ungene om sosiale medier, det tror jeg er veldig viktig. Det er en del av foreldreoppgaven i dag, å engasjere seg, og være positivt nysgjerrig på hva de gjør på sosiale medier.

– Kan det være mange foreldre som får en følelse av å utøve for mye kontroll, hvis de følger med på hva barna gjør på datamaskiner og mobiler?

– Ja, og man skal jo ikke kontrollere barna. Det er noen som har sagt at man snoker på hva ungene gjør. Det er en forferdelig ting, og noe jeg er veldig imot. Men gode foreldre bryr seg om hva barna gjør, også hvis de sitter og spiller spill. Det å spørre og være interessert, betyr ikke å moralisere og komme med pekefingeren. Det er ikke snakk om å snoke, men å vise interesse for hva ungene gjør. Det er helt vesentlig.

Urovekkende makt

– Hvis du retter blikket framover, hva ser du som den største utfordringen på personvernfronten?

– Det er nok to ting. Det ene er digitale trusler, altså cybertrussel. Det andre er de store teknologiselskapene, altså den makten de store amerikanske selskapene har i det europeiske markedet. Eller vi kan snakke om det norske markedet. Det er faktisk veldig urovekkende hvilken makt de har fått. At de er blitt så store og mektige at de kan bidra til å avgjøre utfallet av valg, og at vi er så avhengige av dem. Det er veldig urovekkende, og vi ser jo også holdninger hos disse selskapene, hos Facebook for eksempel, som viser at de ikke er særlig lydhøre.

– Vi har sett disse høringene i kongressen i USA, og vi har også sett det her i Norge – hvor de ikke vil være med i debatter med oss, og kjører sine egne agendaer hele tiden. Jeg synes det er urovekkende at et selskap som har så stor makt, er så lite åpent som det de i realiteten er. De later som de er åpne, men de er ikke spesielt åpne på det de gjør. Men vi fortsetter å trykke på, og det tror jeg vi er nødt til å gjøre sammen med våre europeiske kollegaer.

– Folk slutter vel ikke å bruke Facebook, siden det for eksempel er så store fordeler i forhold til å holde kontakt med andre?

– Det er mange som har glede av det. Facebook og Google har ikke blitt store fordi de er onde selskaper. Det er selskaper som har blitt store fordi de har tjenester folk vil ha. De har vært kjempeflinke til å lage produkter og nyttige tjenester som folk trenger. Men jeg tror det kommer til å bli kraftigere satsing for å se hva de gjør feil. De gjør masse riktig og så gjør de en del feil. Datatilsynsmyndigheter, konkurransemyndigheter og forbrukermyndigheter samarbeider om dette, og det kommer nok antagelig strengere reguleringer, sier Thon.

– Det vil bli veldig spennende å se om disse store amerikanske selskapene vil fortsette å ha den makten de har også i tiden som kommer. Jeg håper virkelig man kan klare å bygge et europeisk næringsliv som kan ta opp konkurransen med de store amerikanske selskapene.

Pandemien

– Har du sett noe bekymringsfullt i forhold til personvern under koronapandemien?

– Ja, vi har hatt veldig mange koronarelaterte saker i 2020 og 2021. Utfordringer knyttet til personvern og digital undervisning, snakk om at man kunne kartlegge hvem som var på hyttene sine, og ikke minst saken rundt smittestopp-appen. Den fant vi jo grunn til å stoppe, av personvernhensyn.

Datatilsynet fant at regjeringens smittestopp-app, som ble innført før sommeren 2020, måtte stoppes og konkluderte med at det ikke var forsvarlig å bruke en så inngripende teknologi ut fra hvor lite smitte det var i samfunnet på den tiden.

– Bakgrunnen for vedtaket er at FHI har valgt en for inngripende teknologi sett i lys av nyttefaktoren av Smittestopp-appen, da det er lite smitte i samfunnet nå, sa Thon til VG da saken pågikk.

Blant det Datatilsynet fant av for inngripende teknologi, var bruk av lokasjonsteknologi, som sporer hvor folk er til enhver tid.

– Vi legger vekt på mange ulike forhold, som smittesituasjon, dokumentert nytteeffekt og dokumentert effekt av smittesporingen, sa Thon da han som direktør i Datatilsynet nedla midlertidig forbud mot smittestopp-appen. Tilsynet åpnet for at regjeringen kunne tilpasse bruken av appen, slik at personvernet ble bedre ivaretatt, men utrullingen av appen ble i realiteten stanset av personvernhensyn.

Da Bjørn Erik Thon begynte i Datatilsynet, jobbet det 17-18 jurister der.

– Nå er antall jurister om lag 30, så dette er en ganske stor juristarbeidsplass. Det totale antall ansatte har vokst fra rundt 40 til litt over 60 årsverk. Med studenter og andre som bidrar, så teller vi rundt 70 personer.

– Jeg kan med hånda på hjertet si at jeg har gledet meg til å gå på jobb hver eneste dag. Det skyldes selvfølgelig at det et viktig fagområde, men også fordi det er fantastiske folk som jobber her. Flinkere og mer dedikerte og hyggeligere mennesker tror jeg rett og slett ikke du finner. Det har vært et privilegium å få lov til å jobbe her. Så tror jeg det blir fint både for Datatilsynet å få en ny leder, og for meg å gå ut og få bruke hodet på nye problemstillinger. Her skilles alle som bestevenner, og der er vel sånn det skal være.

Blir Likestillings- og diskriminerings=ombud

Bjørn Erik Thon starter i den nye jobben i slutten av februar.

Han blir den første mannen i den ombudsrollen.

– Men jeg er ikke ansatt som likestillings og diskrimineringsombudet fordi jeg er mann. Jeg ble ansatt fordi jeg vel var den best kvalifiserte av de som søkte, sier Thon, som vil bruke noe tid sammen med de ansatte i LDO og lytte til de mange stemmene som jobber for likestilling og mot diskriminering før han setter en klar agenda.

Men han peker på noen saker som er aktuelle, blant annet at det skal nedsettes et mannsutvalg som skal se på menns likestillingsutfordringer.

– Det er fra tidligere kjent at det er utfordringer knyttet til gjennomføring av skoleløpet, at menn gjennomfører skolen i mindre grad enn kvinner. Vi ser også at selvmordsratene er høyere for menn enn for kvinner. Det er en av mange oppgaver, men det er fortsatt mange likestillingsutfordringer til det å være kvinne, vold i nære relasjoner, vanskelig for kvinner å nå fram til lederstillinger, eller å få jobb fordi de er gravide.

– Andre temaer jeg vil løfte er utfordringer for funksjonshemmede og å fremme universell utforming når det gjelder deltakelse i arbeidslivet. Hvorfor får ikke jobbsøkere med utenlandsk navn komme på intervju. Hvordan hindre seksuell trakassering. Dette blir det mye mer oppmerksomhet om i årene som kommer. Dessuten vil jeg peke på diskriminerende algoritmer, blant annet at menn i større grad enn kvinner får opp annonser for lederstillinger. Med algoritmenes makt er dette urovekkende, sier han.

Tags