Offentlig forvaltning ønsker å utvikle gode digitale tjenester for barn og unge. Samtidig ønsker vi å ivareta barnas personvern. Dette er ikke alltid like enkelt. I DigiUng-podden kan du høre og lære mer om dette temaet.
Vi har snakket med to jurister som kan det meste når det gjelder personvern. Ingvild Schiøll Ericson er doktorgradsstipendiat ved Handelshøyskolen BI, og Robin Welhaven Føyen er jurist i DigiUng-programmet (innleid fra Deloitte). Denne episoden er nyttig for stort sett alle som jobber med barn og unge, uansett om det gjelder digitalt eller fysisk. Du vil lære mye, men vær forberedt på en del juridiske faguttrykk! 😅
Bildetekst: Fra venstre Robin Welhaven Føyen (jurist innen personvern), Yvonne Hansen (vert) og Ingvild Schiøll Ericson (doktorgradsstipendiat i personopplysningsloven ved BI).
Transkripsjon av podcast om barns personvern
Yvonne: Hei og velkommen til DigiUng-podden. Hvis du brenner for ungdom, så har du kommet til riktig sted. Diggi Ung-programmet bygger nemlig et digitalt økosystem som samler alle offentlige tjenester for ungdom på ett sted, nemlig på ung.no.
I dag har vi med oss Ingvild Eriksson, jurist og doktorgradsstipendiat ved Handelshøyskolen BI, og Robin Welhaven-Føyen som jobber med personvern og GDPR i DigiUng-programmet.
Velkommen til dere begge to.
Ingvild: Takk for det.
Robin: Tusen takk.
Yvonne: Temaet i dag er jo barns personvern på digitale flater. Her ligger det mange utfordringer og fallgruver. Jeg tenker dere to skal få lov til å forklare litt først rundt personvernreglene, hva de egentlig innebærer.
Ingvild: Jeg tenker vi kan starte med å si litt om hva personvern er. Det er ikke nødvendigvis enkelt å gjøre på en kortfattet måte, men det handler jo i bunn og grunn om retten til å ha et privat rom som er bare ditt, hvor det er fri fra innsyn og påvirkning og overvåkning. I den retten ligger også retten til å kontrollere hvem som vet hva om deg. Det er naturlig for oss at vi ikke deler absolutt alt med alle. Barn har en rett til å kontrollere litt hva de deler. Det handler ikke om at man er skjule eller at man har gjort noe galt. Det handler om at vi alle deler ulike ting i ulike relasjoner. Sånn kort oppsummert.
Så er det jo sånn at dette private rommet utfordres med den nye teknologien, fordi vi på en eller annen måte er synlig og eksponert så mye av tiden. Det kan gjelde den åpne eksponeringen gjennom sosiale medier, men det kan også gjelde den skjulte eksponeringen gjennom datastrømmer som samles opp av private selskaper. Når noen vet veldig mye om oss, så gir det mulighet til påvirkning enten det gjelder målrettet markedsføring eller det gjelder påvirkning av meninger og verdier og det mere grunnleggende. Så dette er viktige ting, så jeg er veldig glad for å se at det begynner å skje litt og at folk setter det på agendaen. Sånn som dere.
Yvonne: Du, Robin, du har jo jobbet med dette i stund. Hva tenker du rundt det Ingvild sier nå?
Robin: Nei, jeg tenker det er veldig viktig. Jeg har jobbet mye praktisk nå med personvern i DigiUng. Og man ser jo ofte også at personvern blir en litt sånn showstopper i en del av de prosjektene og initiativene som man gjør. Og man får litt negative fortegn rundt det med personvern. Men jeg tenker det er veldig viktig det Ingvild er inne på med det private rommet og på en måte er litt av grunnen til at vi har disse reglene i dagens samfunn.
Yvonne: Og hvordan reglene gjelder for bruk av barns personvernopplysninger? Kan dere si litt om det?
Ingvild: Ja, det er et ganske uoversiktlig og fragmentert bilde og jeg tror det er litt av grunnen til at det er så vanskelig å sørge for at barn får det vernet som de faktisk har krav på. Men hvis jeg skal starte med litt grunnleggende, så er jo dette utgangspunktet forankret både i den norske grunnloven og i internasjonale menneskerettigheter. Så selv om de mer detaljerte reglene er å finne i personvernforordningen og på mer konkrete områder, slik som helserett eller skole, så danner dette bakteppet for all behandling av personopplysninger i menneskerettighetene og grunnloven.
Ingvild (til Robin): Skal kanskje du si litt om personvernforordningen?
Robin: Ja, for GDPR gjelder jo det med all behandling av personopplysninger. Og da er det jo litt viktig å vite hva en personopplysning er for noe. Og kort forklart så er det opplysninger som gjør det mulig å identifisere deg. Det typiske er jo kontaktopplysninger, som navn, adresse, telefonnummer, e-post, fødselsnummer. Og det er ofte sånn at på digitale flater eller sosiale medier så har man ofte en brukerkonto hvor man må oppgi e-postadressen sin, navnet sitt eller telefonnummeret sitt. Men så kan det være greit å vite at personopplysninger er mer enn det. Det kan også være et bilde hvor personen på bildet gjenkjennes. Det kan være biometri, slik som fingerapptrykk, irismønster, ansiktsgjenkjenning. Det er også personopplysninger. Og på nett så regnes også en IP-adresse, nettadressen din, som er personopplysning. Så det er veldig vanskelig å være anonym på nett.
I tillegg så har man denne stordatapraksisen hos de kommersielle selskapene og techselskapene som samler inn veldig mye data fra ulike kilder om deg. Så på generelt grunnlag kan vi kanskje si at GDPR kommer til anvendelse på de fleste tilfeller på digitale plater. Også vil jeg legge til det med at GDPR er et generelt råd. Den er generelt utformet, og den skiller utgangspunktet ikke mellom voksne og barn, men gjelder alle enkeltpersoner. Også har man likevel noen bestemmelser.
En bestemmelse i artikkel 8 som gjelder barns samtykke til å dele sine personopplysninger på online-tjenester. Også har man i fortalen til GDPR også et punkt som gir barnet særlig vern. Det er fordi barn kan være mindre bevisste på risikoer og konsekvenser og sine rettigheter på nett. Så det er noe man alltid må ta hensyn til når man behandler data om barn, at de har et særlig vern etter GDPR. Også er det noe av utfordringen kanskje at GDPR ikke regulerer ikke helt hvordan man skal operasjonalisere det vernet i praksis.
Yvonne: Ja, Robin, og det sterkere vernet som du snakker om, det gjør at det stilles særlig krav til behandlingsgrunnlag, eller rettslig grunnlag og åpenhet når man behandler barns personopplysninger. Så kan du si litt om hva behandlingsgrunnlag og kravet til åpenhet betyr? Eller kanskje Ingvild vil si litt?
Ingvild: Jeg kan begynne med dette med behandlingsgrunnlag. Og det er jo et av de grunnleggende kravene i personvernforordningen, at all databehandling krever et rettslig grunnlag. Det er regulert i artikkel 6, hvor det oppstilles seks ulike alternativer for når databehandling kan finne sted. Og da er det jo sånn at i en gitt situasjon, hvor man står ovenfor et ønske om databehandling, så er man nødt til å vurdere helt konkret basert på hvilke dataformer, eller behandlingsformer man har, og hva slags aktører man er. Og det er jo sånn at det er stor forskjell for eksempel på om du skal behandle personopplysninger for å ivareta liv og helse, eller om det er snakk om målrettet markedsføring, eksempelvis fra de private selskapene. Så har det litt å si om du er offentlig eller privat, og mens for eksempel offentlige myndigheter kan påberope seg behandling av personopplysninger, nettopp som ledde i offentlige myndighetsutøvelser, sånn som for eksempel kommunen når de behandler personopplysninger gjennom digitale læringsverktøy i skolen, så vil du være annerledes med private aktører.
Og det er jo en stund siden vi begynte å skjønne at disse tilsynelatende gratis tjenestene på nett ikke er gratis likevel, og at vi betaler med personlige opplysninger. Og skal et privat selskap benytte mine opplysninger til kommersielle formål, så er det jo andre behandlingsgrunnlag som er aktuelle, typisk samtykke, avtalerettslig nødvendighet eller berettiget interesse. Så er det sånn som Robin sier at man har noen utføringer ved at disse reglene er generelt utformet, samtidig som man jo har fått føringer på at man skal ivareta barns særlige vern. Så det er en utfordring å klare å tolke disse reglene på en måte som faktisk sikrer dette vernet. Og vi går litt mer inn på disse behandlingsgrunnlagene etterpå, men det er i hvert fall for nå et sentralt poeng at det må være lovlig forankret, og i tillegg til at det da skal skje på en åpen og synlig måte, skal det ikke være en overraskelse for den som får behandlet personopplysningene at dette skjer. Så åpenhet ligger jo også sentralt.
Robin: Ja, det kravet til åpenhet er jo også et helt grunnleggende prinsipp i GDPR, og det følger på en måte GDPR opp også i regelverket ved å ha detaljerte krav om hva det skal informeres om, og hvordan. Det kommer vi også litt tilbake til. Og litt av poenget med dette åpenhetskravet er at man skal vite hvordan dine personopplysninger blir behandlet. Det skal være transparent, og det bidrar til å skape en måte tillit til de tjenester man bruker, og så lettere å ivareta med egne interesser og rettigheter. Og når det da gjelder barn, så skal jo da barn vite om den tjenesten du bruker samler inn data om deg, hva som gjør det, og hva som er formålet med den databehandlingen, og så videre. Og informasjonen skal også da være tilpasset til denne målgruppen. Barnet skal på en måte være i stand til å forstå hva denne databehandlingen innebærer. Og det kan jo være utfordrende noen ganger å tilpasse språket og begrepsbruken til målgruppen. Det ser vi jo.
Ingvild: Det er jo vanskelig for oss voksne å forstå seg, så det blir ikke noe lettere med barn.
Yvonne: Nei, det er sant. Jeg tenkte å bevege oss litt over på det med barns personvern knyttet til sosiale medier og digitale tjenester. Dere har vært litt inne på det allerede. Men har dere noen generelle case eller eksempler som dere kunne nevnt, som illustrerer noen av de utfordringene vi ser innenfor personvern på sosiale medier og digitale tjenester?
Ingvild: Det begynner så smått å komme noen avgjørelser rundt i Europa når det gjelder barns personvern. Og et av de grunnleggende problemene, som for så langt ikke er drøftet prinsipielt ennå, men som er litt gjennomgående, det gjelder nettopp dette med behandlingsgrunnlag. Uten at jeg skal si alt for mye om det nå, så er det jo sånn at det ofte er samtykke- og avtalerettsnødvendighet som påberopes. Begge har det til felles, at det krever at barna har det vi kaller rettslig handlevnet. Man må ha en eller annen form for avtalekompetanse, og etter norsk rett har du i utgangspunktet ikke det, før du har fylt 18 år. Det skaper en del utfordringer for blant annet disse plattformene for sosiale medier. Det har vært flere saker blant annet når det gjelder META, fordi de benyttet avtalerettsnødvendighet på mindreårige. Det har vært en avgjørelse mot TikTok, som også lot mindreårige få tilgang til tjenesten. Vi snakker ganske solide bøter. Det gjør jo også at disse plattformene ofte veksler litt mellom hvilke behandlingsgrunnlag de påberoper.
Man ser for eksempel at META bruker samtykke når de skal behandle det vi kaller særlig kategorier personopplysninger, som gjerne er litt mer sensitive. Det kan være knyttet til helse, religion eller seksuell legning, for eksempel. Men barn har ikke kompetanse til å samtykke til dette. Så ser vi at de bruker avtalerettsnødvendighet når det gjelder personlig tilpasning av tjenester, men barn har ikke avtalekompetanse til å gå inn i en avtale om dette. Så har man da berettiget interesse som også er et relevant behandlingsgrunnlag, som ikke kan brukes når det er snakk om mer omfattende databehandling, som gjerne kjennetegner mye av disse kommersielle aktørene.
Det er gjerne sporing på tvers av nettsider, profilering, sammenstilling av data fra ulike kilder osv. Heller ikke det kan forankres i dette behandlingsgrunnlaget. Så ser de famler litt, og det er litt vanskelig å forutse hva som egentlig er rett og galt. Det ligger nok gjennom mye av de sakene vi ser. Men det er jo ikke bare avgrenset til sosiale medier. Vi ser jo også litt hvordan det har vært i skolen, og etter at man har tatt ut mye digitale læringsverktøy, så er det kanskje ikke overraskende å slippe selskaper inn i klasserommene, som har som selve forretningsmodellen å utnytte personopplysninger, at det også gjelder elevenes informasjon. Man ser i stor grad at dette havner ut på et kommersielt marked, og har blitt spesielt trukket fra måten av datatilsyn og personvernkommisjon, så noe som virkelig må ryddes opp i. Så jeg tenker at det er en del problemer som ligger enten det er sosiale medier eller andre digitale tjenester, men som ligger litt som generelle problemer som vi må løse.
Robin: Ja, jeg kan vel legge til der en tilgrensende problemstilling også. Det har jo vært en diskusjon rundt det offentliges tilstedeværelse på sosiale medier, også det med å ta i bruk digitale tjenester og læringsverktøy. Den erfaringen vi har fra DigiUng er at det er veldig vanskelig for hver enkel skole, eller kommune, eller etat, å gjøre disse personvernvurderingene opp mot disse sosiale mediene. Datatilsynet har jo valgt å ikke være på Facebook, men vi får hvert fall en del hendelser til oss hvor de ber om bistand til disse vurderingene. Skoler og kommuner som ikke har like mye ressurser til å gjøre vurderingene. Også er det jo sånn at barn og unge er jo på sosiale medier, så det er jo veldig viktig å være der barn er også. Og det offentlige vil jo gjerne nå ut med sine tjenester, og kanskje være en motvekt i mye av det kommersielle som ligger der. Så det er en veldig vanskelig problemstilling som vi har diskutert en del, men som vi ikke har noe sånn umiddelbart veldig godt svar på.
Yvonne: Ja. Det er jo veldig vanskelig. Når det gjelder regler for samtykke, kan du ikke si litt om hva som gjelder når man skal hente inn samtykke fra barn?
Robin: Ja, som Ingvild var være inne på i stad, så er det jo et krav om at alle behandlinger og personopplysninger, de må ha et rettslig grunnlag eller et behandlingsgrunnlag. Og der er samtykke et mulig behandlingsgrunnlag. Også er det en del krav i GDPR om hva som er et gyldig samtykke. Det må være frivillig, det må være spesifikt, informert, utvetydig, og også en del noen flere krav. Uten hva utfordringen for barns samtykkekompetanse er, som Ingvild var inne på, at det er en avtalerettslig disposisjon som krever rettslige handlende. Og det er i liten grad regulert i GDPR. Så det er nasjonale regler som egentlig regulerer dette. Og der er utgangspunktet 18 år, med mindre det finnes noen unntak. Så det betyr egentlig at du må være 18 år for å kunne samtykke og dele dine personopplysninger som et utgangspunkt.
Yvonne: Men jeg tenker bare for foreldre som har barn, det må jo være veldig vanskelig. Hvordan skal du kunne styre? For de kan vel få tilgang på tjenester som de ikke burde få?
Ingvild: Ja, jeg tror foreldre synes dette er vanskelig. Vi synes det er vanskelig, vi som jobber med det også. Jeg har resignert litt på hjemmebane på enkelt områder. Det er klart du har filter for eksempel i forhold til hva barna kan komme inn på av ulike tjenester og så videre. Jeg er ikke helt sikker på at foreldre har et veldig bevisst forhold til dette databehandlingsspørsmålet. Jeg tror de er opptatt av innhold, skjerme barnet fra ting de ikke skal se, den type ting. Veldig opptatt av dette med deling av bilder, at man skal være greie med hverandre på nett og alt dette. Jeg føler man har kommet langt, og at foreldre gjør sitt best når det gjelder det. Så tror jeg ikke man har et veldig bevisst forhold til akkurat den underliggende data-innsamlingen som vi er mest opptatt av, som har vært det man har snakket mest om rundt personvernforordningen. Her tenker jeg at man trenger litt hjelp, for det samtykket som Robin snakker om, det er jo forankret i en persons rett til å velge selv, en selvbestemmelsesrett som skal være noe du i prinsippet ønsker. Men det er jo også en ansvarsfraskrivelse fra leverandørens side, ved at du plasserer ansvaret på den som faktisk samtykker, og gir en slags blankofullmakt til å behandle. Da er det et ganske grunnleggende problem, at både voksen og barn skjønner ganske lite om hvor dataene blir av, og hva de brukes til. Så jeg tenker at foreldrene her trenger litt hjelp.
Yvonne: Bare for å følge opp den, dere er jo jurister, og nå spør jeg om ting som kanskje ikke dere kan svare på formelt, men hvordan tanker har dere om samfunnet som helhet, og hvordan ansvar bør vi ta for å hjelpe foreldre og barn i denne situasjonen, når det er så vanskelig? Hva ville dere tenkt kunne være noen tiltak for å komme et steg videre?
Ingvild: Ja, det der er et veldig stort spørsmål, egentlig, som vi snakket litt om i går, som vi ikke nødvendigvis har noen klare svar på. Jeg tenker at man kanskje må løfte ansvaret litt opp over den enkelte, og ha noen overordnede retningslinjer. Jeg mener jo at mye av den praksisen som skjer i dag, den har ikke rettslig forankring i personvernregelverket. Det virker som om ting er litt ut av kontroll, og at man i liten grad får håndhevet også de reglene som ligger der. Men jeg tenker at for det første må man synliggjøre den praksisen som ikke er lovlig, og kanskje i litt større grad håndheve. Og så tenker jeg at man i større grad må løfte dette opp på et nivå over den enkelte, og prøve å se den samlede belastningen av den overvåkningen som skjer av barn, og den påvirkningen og utnyttelsen av disse personopplysningene. Jeg savner kanskje nettopp det at regelverket er såpass fragmentert, at det gjør det vanskelig å se helheten. Og det trenger nok enkelte litt hjelp til.
Yvonne: Ja. Men jeg går litt tilbake til det vi snakket om, Robin. Du var inne på det med 18-års aldersgrense, og jeg tenker hva er det man må ta hensyn til dersom man bruker berettiget interesse? Eller avtale om behandlingsgrunnlag? Dette er jo litt vanskelige juridiske termer, men ...
Robin: Det er en del begreper i person- og regelverket som ikke er så veldig intuitive. Men bare for å gjøre meg ferdig med samtykke, for jeg tenker det er et viktig poeng der også. Utgangspunktet er som sagt 18 år, men så har man et unntak i loven som sier at 13-åringer kan samtykke til informasjonssamfunnstjenester. Det er et litt vanskelig begrep. Og uten å gå for mye inn på den definisjonen av informasjonssamfunnstjenester, så kan man si at det er tjenester som er kommersielle, som leveres elektronisk på avstand og etter individuell forespørsel. Og den favner nok om de fleste tjenester på nett, og det typiske er kanskje sosiale medier. Så det betyr jo egentlig at en 13-åring kan samtykke til å dele sine personopplysninger på for eksempel Facebook, Instagram eller TikTok, hvis man bruker det som behandlingsgrunnlag. Så det er jo et ganske viktig unntak fra den 18-årsregelen.
Ingvild: Hvis jeg bare kan få kommentere den, for det er jo helt riktig. Vi har jo dannet en oppfatning om at barn kan være på nett fra de er 13 og samtykke. Og det er jo det store utgangspunktet, samtidig som litt av det vi også snakket om i sted, at vi har ulike kategorier personopplysninger. Jeg skal ikke gå veldig inn i det tekniske, men det er ikke alle type personopplysninger barn kan samtykke til. Og nettopp den stordata-praksisen som innebærer at man setter data fra veldig mange ulike kilder sammen, det gjør at man raskt kan avsløre eller avdekke kategorier med opplysninger som er litt mer sensitive. Du trenger ikke så veldig mange datapunkter før du for eksempel klarer å avdekke politisk ståsted, eller helse, eller den type ting. Og det gjør jo egentlig at også om man er på sosiale medier og tenker at her er det en 13-årsgrense, så er man nødt til å skille mellom hva som samles inn og hva det brukes til. Og det gjør jo at dette blir enda litt mer komplisert. Så det er som et utgangspunkt en 13-årsgrense for alminnelige opplysninger, men det er også her noen unntak som gjør at det er litt vanskelig.
Yvonne: Veldig bra forklart. Men for å være mest mulig åpen, hvordan kan vi gi informasjon til barn når man behandler deres personlig opplysninger?
Ingvild: Det er jo et grunnleggende prinsipp som vi har snakket om, om åpenhet. Og det gjelder jo uansett hvilket behandlingsgrunnlag du bruker, så er det krav til både hva som skal informeres om, og det er krav til hvordan det skal formidles. Og det er ingen formkrav som man kan i prinsippet gi den informasjonen på den måten man skulle ønske. Det er jo vanlig å gjøre det skriftlig, men barn lærer jo ting på en litt annen måte enn voksne, sånn at det kan kanskje være klokt å kombinere skriftlige ting med visuelle ting, og det kan være tegneserier eller piktogrammer eller hva som helst. Og det følger jo av regelverket selv, hvor det står at informasjon skal gis på en kortfattet åpen, forståelig og lett tilgjengelig måte, og på et klart og enkelt språk, især når det gjelder informasjon som er spesifikt rettet mot et barn. Så det er benyttet klart og tydelig språk, det gjelder jo uavhengig av alder, at man skal på en måte unngå tunge, kompliserte faguttrykk og den type ting. Men man må også da se konkret på, ikke bare på barn som sådan, men også ulike aldersgrupper av barn. Og hvordan det skal gjøres, det blir jo en konkret vurdering, og vi har fått litt drahjelp av både at Artikkel 29-gruppen, som er en arbeidsgruppe i EU, har utviklet noen retningslinjer som blant annet sier litt om hvordan man kan formidle mot barn i sine retningslinjer om åpenhet. Og så er det også flere datatilsyn, både i Frankrike og England, som har utviklet noen retningslinjer for hvordan man kan gjøre det.
EU jobber også med en kode som man kan bruke. Så jeg ville egentlig gått inn i den, hvis jeg skulle sitte og utvikle noe som skal rette seg mot barn, en tjeneste som man vet vil bli lest av barn, så ville jeg gått inn i den veiledningen til ICO, som er det britiske datatilsynet, og den heter Age Appropriate Design. Og her kommer det anbefalinger om at man skal bruke sånn som diagrammer og grafikk og video- og lydinnhold, gamifisert eller interaktivt innhold som er egnet til å kjenne til barnas oppmerksomhet og så videre. Og så er det et viktig poeng at hvis man skal treffe riktig målgruppe, så må man jo gjerne la barn selv være med å påvirke utformingen. Og der har vel du litt praktisk erfaring?
Robin: Ja. I DigiUng så har vi et ungdomspanel som består av ungdommer som representerer det mangfoldige Norge. Og mandatet deres er å gi innspill på de løsningene og leveransene som er i programmet. Og de har vi også involvert i forbindelse med utforming av samtykketekster og personvernerklæringer, for at de skal kunne få innspill på dem. Og det er noe som vi synes har fungert veldig bra, egentlig. Det er ikke alltid sånn at man vet helt på forhånd hva noen på 13 år skjønner eller ikke skjønner, så det å få litt sånn innspill her, det har vært veldig nyttig, som man skriver i et språk som ungdommer faktisk forstår. Så det var litt som jeg nevnte sist også, eller i sted, at det er veldig mange vanskelige begreper i GDPR, og de er ikke sånn umiddelbart veldig intuitive. Så det å prøve å forklare de litt på et språk tilpasset målgruppen, det tror jeg er veldig nyttig. Da kan det hende at man oppnår det at noen flere også faktisk leser disse Terms and Conditions og personvernerklæringene, når man faktisk forstår hva som står der. Det er jo ikke alltid like lett.
Ingvild: Nei, neste forskning viser vel at det ikke blir lest så veldig mye.
Robin: Nei.
Yvonne: Det er sikkert noe noen kan lære av det som er gjort i DigiUng, for det er jo gjort veldig mye bra der. Men vi var jo litt inne på det i sted, der jeg spurte dere om foreldre og sånt. Men synes dere det gjøres nok når det gjelder barns personvern? Og hva kan man ellers gjøre for å forbedre situasjonen, sånn som dere sier? Nå sa jo du at man jobber med ungdomspanel for å forbedre teksten og informasjon rundt samtykke, men hva mer kan man gjøre?
Ingvild: Når du spør om vi synes det blir gjort nok, så må vel svaret på det være nei. Men jeg føler vel at det er på vei mot noe, og at det skjer mye mer enn før. Jeg tror nok folk opplever at det har vært veldig mye snakk om GDPR i mange år nå, veldig, veldig mye prat om det. Jeg tror folk opplever også at det har vært mye prat om barns personvern. Men jeg tenker at det primært handler om nettopp de tingene som vi snakket om, sosiale medier, deling av bilder, samtykke og alt dette her. Og så har det vært underkommunisert, det med den datastrømmen og den datautnyttelsen som skjer litt mer i det skjulte, tror jeg, fordi konsekvensen er litt mindre merkbare. Du føler det, hvis noen har lagt ut et bilde de ikke skal delta, så kjenner du det umiddelbart, men det er ikke så lett å se hvordan den underliggende påvirkningen skjer, hvordan private selskapet påvirker deg gjennom markedsføring og reklame, og får deg til å føle deg dårlig. Det ser du ikke så lett. Men det begynner å skje mer på det området nå. Jeg ser også datatilsyn, det nevnte jeg for så litt i sted, både datatilsyn og personvernkommisjon, må på en måte ha satt det på agendaen og uttrykt et ønske om at nå haster det. Men foreløpig er det kanskje mest på informasjonsnivå, at det kommer veiledninger og informasjon ut, uten at det er materialisert, altså veldig konkret initiativ. Men det skjer jo litt på EU-hold. Det er litt mer konkret karakter.
Robin: Ja, det beveger seg litt i EU nå med EUs datastrategi. Der kommer det en del nye forholdninger og regelverk som skal regulere dataøkonomien. Og litt overordnet kan man si at det skal gi bedre beskyttelse for forbrukere online. Det skal skape tryggere digitale rom. Det skal sikre grunnleggende rettigheter til alle som bruker digitale tjenester. Man ønsker også å skape like konkurransevilkår. Så en del av disse store tech-selskapene, gjerne amerikanske, de får bli mer ansvarlig gjort, og det blir mer transparens, det skal i hvert fall bli, knyttet til bruk av data og deling av data. Så man kan jo på en måte håpe litt på at noen av disse regelverkene også bidrar til tryggere digitale rom og bedre personvern for barn på digitale flater.
Ingvild: Og mens vi venter på det, så synes jeg det også er et viktig poeng å få frem. Som jeg ser det, så er det veldig mye av den praksisen som skjer i dag, som allerede er forbudt etter det regelverket vi har. Så det handler i stor grad om å sette litt fokus på det, og synliggjøre at mye av den praksisen som faktisk foregår når det gjelder barn, den er ulovlig. Så bare sette i gang og håndheve mens vi venter på de nye rettssakene fra EU.
Yvonne: Det er viktig å være litt streng også. Vi har gått gjennom mange spørsmål, og det er veldig nyttig, men det er også litt vanskelig. Jeg merker det selv, jeg er jo ikke jurist, og det er sikkert mange som lytter på som synes det er vanskelig også. Hvis dere skulle gi litt oppsummering på det vi har vært gjennom nå, hva er det viktigste dere tenker de som lytter på bør være obs på?
Robin: Godt spørsmål. Personen- og regelverket er veldig stort, og vi har bare touchet inn på noen problemstillinger i dag. Hvis jeg skal oppsummere pratene i tre punkter, så tenker jeg kanskje det Ingvild startet med, at personvern er der for å skape et trygt rom, at personvern også er noe som har positive fortegn, og at i det vi kaller overvåkningssamfunnet vi lever i dag, så er det en veldig viktig verdi som vi må være med om. Og så tenker jeg det med bevisstgjøring om at barn har et særlig vern, i personvernregelverket. Det er kanskje litt underkommunisert, men det er noe alle bør ta med seg når de utvikler digitale tjenester eller behandler personopplysninger om barn. Og så det siste jeg tenkte å si, det er jo det jeg nevnte i sted, som vi har god erfaring med, og det er å involvere barn og unge selv i utviklingen av personvernerklæring i tekster, at de får lov til å komme til ordet og gi innspill. Det er i hvert fall vår erfaring, at det har vært veldig nyttig og interessant og hjulpet oss en god del.
Yvonne: Så bra. Ingvild, har du noen avsluttende kommentarer?
Ingvild: Jeg synes det var en fin oppsummering.
Yvonne: Så bra. Tusen takk for at dere tok turen til studio i dag. Ingvild Eriksson, jurist og doktorgradsstipendiat ved Handelshøyskolen BI, og Robin Welhaven Føyen, jurist i DigiUng-programmet.
Robin: Tusen takk.
Ingvild: Takk.
Yvonne: Jeg håper dette var nyttig for deg som lytter på. Ta gjerne kontakt om du har lyst til å snakke med oss om prosjekter som er rettet mot barn og unge. Les mer om oss på digiung.no. Her kan du også melde deg på nyhetsbrev for å få en jevnlig oppdatering fra programmet.