Hopp til hovedinnhold

Personvern på Facebook

Offentlige virksomheter må som behandlingsansvarlig virksomhet løpende vurdere om krav til personvern er ivaretatt når de bruker ulike sosiale medier.

    Vurder din virksomhets bruk av Facebook

    Offentlige virksomheter må som behandlingsansvarlig av personopplysninger løpende vurdere om krav til personvern er ivaretatt når de bruker ulike sosiale medier. Datatilsynet er tydelige på at alle offentlige virksomheter må vurdere sin egen bruk av Facebook som kommunikasjonskanal, for å sikre at bruken er i tråd med GDPR og personvernforordningen Virksomhetenes plikter | Datatilsynet. Hos Datatilsynet finner du en sjekkliste som kan brukes i risikovurderingen Veiledning om DPIA | Datatilsynet. Det er naturlig at det tar noe tid å gjøre en grundig vurdering.

    Digdir sin vurdering av Facebook

    Vi har gjort en intern risikovurdering av hvorvidt Digdir skal fortsette å ha en side på Facebook eller ikke. Ledelsen i Digdir har besluttet at vi både kan og bør ha en side på Facebook. Vi deler her vår egen vurdering og inviterer andre til å dele sine vurderinger.

    Innledning, sammendrag og konklusjon

    Denne vurderingen inneholder en risikovurdering, en anbefaling til ledelsen og ledelsens endelige beslutning.

    Arbeidsgruppen som har gjort vurderingen består av to ressurser fra Digdirs kommunikasjonsavdeling og en ekstern ressurs med kompetanse på kommunikasjon og sosiale medier.

    Den juridiske vurderingen er gjort av en av Digdirs egne jurister med kompetanse på personvern, i samarbeid med personvernjurist fra Kluge advokatfirma. Vurderingen er forelagt Digdirs personvernombud.

    Vi mener vurderingen også vil ha interesse for offentligheten, siden Digitaliseringsdirektoratet har en sentral rolle i digitaliseringen av offentlige virksomheter i Norge. Rapporten oppsummerer våre analyser, vurderinger og konklusjoner av risiko, risikohåndtering og plikter etter personvernregelverket idet Digitaliseringsdirektoratet som en offentlig myndighet kommuniserer gjennom en side på Facebook.

    Rapporten og den tilhørende vurderingen er aktualisert gjennom at Datatilsynet i 2021 publiserte resultatene av sin egen vurdering av om de skulle opprette en side på Facebook, og oppfordret andre offentlige virksomheter til å gjøre det samme. Datatilsynet valgte å ikke opprette en offisiell profil på Facebook.

    Vi gjør oppmerksom på at konklusjonene kan variere fra organ til organ, og vil her tydeliggjøre hvorfor Digitaliseringsdirektoratet konkluderer med at vi kan ha en Facebook-side.

    Rapporten ble lagt frem for Digitaliseringsdirektoratets ledelse i mars 2022.

    Sammendrag

    Digitaliseringsdirektoratet (Digdir) er regjeringens fremste verktøy for raskere og mer samordnet digitalisering av samfunnet. En viktig del av det er å være tilgjengelig på de digitale plattformene hvor publikum forventer å treffe oss.

    Etter at Datatilsynet i sin vurdering landet på at de ikke skulle opprette en side på Facebook, og oppfordret andre offentlige virksomheter til å gjøre en vurdering av egen tilstedeværelse på Facebook, var det naturlig for oss å gjøre en tilsvarende vurdering.

    Innføringen av personvernforordningen (General Data Protection Regulation, «GDPR») i 2018 har gjort innbyggere og virksomheter mer oppmerksomme på egne rettigheter og plikter. Som følge av det nye regelverket har både private selskap og offentlige myndigheter vært nødt til å gjennomgå rutiner, praksis og anskaffelser som involverer behandling av personopplysninger for å tilfredsstille kravene i den nye loven. Regelverkets plikter gjør seg også gjeldende når en virksomhet tar i bruk sosiale medier, for eksempel en side på Facebook.

    Et viktig verktøy for å sikre at personvernet til de som er registrert i en løsning ivaretas, er å gjennomføre risikovurderinger og vurdering av personvernkonsekvenser (Data Protection Impact Assessment, DPIA). Rapporten inneholder en systematisk beskrivelse av løsningen, som inkluderer en juridisk vurdering av ansvarsforhold, en vurdering av behandlingens nødvendighet og proporsjonalitet, og vurderer tiltak for å redusere personvernrisiko for de registrerte i løsningen.

    I tillegg til en juridisk vurdering av om Digdir kan ha en side på Facebook, har vi også gjort en etisk vurdering av om Digdir bør ha en side på Facebook.

    Konklusjon

    Etter å ha gjennomført risikovurderingen, var arbeidsgruppens anbefaling til ledelsen at Digdir kan ha en side på Facebook. Anbefalingen er basert på vurderingene av hvilken risiko behandlingen av personopplysninger gjennom Digdirs side på Facebook utgjør for brukernes rettigheter og friheter. Hovedpunktene i denne vurderingen er:

    • Arbeidsgruppen mener at det er liten risiko knyttet til behandlingens art, omfang, formål og sammenheng.
    • Vi vurderer at Digdir oppfyller artikkel 26 i personvernforordningen.
    • Arbeidsgruppen vurderer at behandlingens personopplysningssikkerhet er ivaretatt.
    • Vi mener kravene til innebygget personvern i Artikkel 25 er ivaretatt.
    • Vi vurderer at nødvendighet og proporsjonalitet er ivaretatt.
    • Vi vurderer at det ikke er nødvendig for Digdir å gjennomføre en DPIA. Vi har likevel valgt å gjøre det for å forsikre oss om at våre vurderinger er riktige.
    • Vi vurderer at den registrerte har reell medbestemmelse, åpenhet og forutsigbarhet på Facebook.
    • Vi mener derfor at den registrertes rettigheter og friheter er ivaretatt.

    Etter en etisk vurdering av fordelene, ulempene og risikoene ved å ha en side på Facebook, anbefalte arbeidsgruppen også en beslutning om at Digdir bør ha en side på Facebook, fordi fordelene oppveier ulempene og risikoene.

    Digdirs vurdering av sin bruk

    Digitaliseringsdirektoratet (Digdir) ser på sosiale medier som en naturlig del av den digitale kommunikasjonen vi har mot befolkningen. Som fagmyndighet på digitalisering er det naturlig for oss å også bruke de digitale kommunikasjonskanalene som er utbredt i samfunnet.

    Sosiale medier er komplementære kanaler for oss. Det vil si at vi i svært liten grad deler innhold kun i sosiale medier. Alt som publiseres i sosiale medier er også tilgjengelig på nettsiden vår eller i andre kanaler.

    I forbindelse med at Datatilsynet offentliggjorde sin rapport «Intern risikovurdering: Skal Datatilsynet ha egen side på Facebook?» (heretter bare omtalt som «Datatilsynets rapport»), var det naturlig for oss å gjøre en egen vurdering av Digdirs bruk av Facebook som kommunikasjonskanal.

    Vi har valgt å ta utgangspunkt i Datatilsynets struktur, både på risikovurderingen og utforming av rapporten. Vi har imidlertid gjort våre egne vurderinger, uavhengig av Datatilsynets rapport

    Vi svarer i vurderingen på to spørsmål:

    1. Kan Digdir være på Facebook?
      Her vurderer vi om det er juridisk forsvarlig for direktoratet å ha en side på Facebook, basert på om vi oppfyller kravene i personvernforordningen.
      Vi nevner for øvrig at personopplysningsloven nå har fått et unntak fra en rekke reguleringer i forordningen «for utøvelsen av retten til ytrings- og informasjonsfrihet», jf. personopplysningsloven § 3 første ledd. Trolig kan en del av opplysningsbehandlingen på Facebook-siden være unntatt deler av GDPR i medhold av denne bestemmelsen, men direktoratet har for ordens skyld likevel valgt å forholde seg helt til kravene i GDPR.
    2. Bør Digdir være på Facebook?
      Her vurderer vi om det er etisk og moralsk riktig for direktoratet å ha en side på Facebook.

    Formål

    Digdir har to formål med å ha en egen side på Facebook:

    1. Nå ut til flest mulig av landets innbyggere med innhold vi publiserer. Her er Facebook en kanal som kan bidra til at vi når flere mennesker enn vi gjør gjennom nettsiden og andre kanaler.
    2. Stimulere til dialog om temaene vi arbeider med, både mellom oss og innbyggerne og mellom innbyggerne.

    Digdir betaler av og til for annonsering på Facebook og i andre sosiale medier. Det gjør vi først og fremst for å nå ut til enda flere med stillingsannonser og informasjon om arrangementer og lignende.

    Beslutningsprosess

    Beslutningsprosessen vi har fulgt starter med en vurdering av om Digdir har felles behandlingsansvar (1). Svaret på det er JA, og vi har da vurdert om det er nødvendig å gjennomføre en Vurdering av personvernkonsekvenser (DPIA)(2). Svaret på det er NEI.

    Vi kunne da ha gått rett til (8) og vurdert spørsmålet om Digdir bør være på Facebook. Vi har likevel valgt å gjennomføre en DPIA (3–6) for å være så sikre som mulig på at vurderingen er riktig.

    En DPIA består av fire deler: En systematisk beskrivelse av behandlingen, en vurdering av nødvendighet og proporsjonalitet ved behandlingen, en vurdering av risiko for den registrertes rettigheter og friheter og en vurdering av planlagte tiltak for å håndtere risikoene. Hvor omfattende en DPIA bør være, vil bero på bl.a. behandlingens art og risiko.

    Resultatet av vurderingene i en DPIA gir svar på om vi juridisk sett kan være til stede på Facebook (7). Siden svaret på dette er JA, gikk vi videre til en vurdering av de etiske sidene ved å ha en Facebook-side. Her ser vi på fordeler, ulemper og etiske risikoer ved å bruke plattformen (8).

    Ettersom fordelene for vår del oppveier ulempene, og vi ikke ser vesentlige risikoer, er svaret på om Digdir bør være til stede på Facebook også JA (9).

    1

    Har Digdir felles behandlingsansvar? (Vedlegg 1)

    • De to EU-dommene omtalt i Vedlegg 1, i tillegg til Metas egen definisjon, tilsier at Digdir har felles behandleransvar med Meta når det gjelder innsamling av data på Digdirs Facebook-side, overføring av disse dataene til Meta og aggregering av dataene til bruk i statistikkverktøyet Innsikt.
    • Felles behandlingsansvar er avgrenset til disse behandlingene, men gjelder ikke eventuell behandling av personopplysninger før og etter nevnte behandlinger.
    JA
    2

    Er det nødvendig å utføre Vurdering av personvernkonsekvenser (DPIA)?

    • Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for vernet av personopplysninger.
    • DPIA må også gjennomføres for behandlinger som inngår i Datatilsynets liste over behandlingsaktiviteter som alltid krever at det gjennomføres en DPIA.
    NEI
    3

    En systematisk beskrivelse av behandlingen

    4

    En vurdering av nødvendighet og proporsjonalitet

    5

    En vurdering av risiko for den registrertes rettigheter og friheter

    6

    Planlagte tiltak for å håndtere risikoene

    7

    Kan Digdir være til stede på Facebook?

    • Ledelsen gjennomgår og evaluerer DPIA. Resultatet kan være at de godkjenner, ber om forbedringer eller avviser vurderingen.
    JA
    8

    Beskrivelse av fordeler, etiske ulemper og risikoer

    9

    Bør Digdir være til stede på Facebook?

    • Er fordelene større enn ulempene og risikoene i den etiske vurderingen?
    JA

    Avklaring om bruk av navn

    I oktober 2021 skiftet selskapet Facebook Inc. navn til Meta Platforms Inc. (Meta). Den teknologiske plattformen heter fortsatt Facebook.

    Meta er således selskapet som er juridisk ansvarlig for behandling av persondata som skjer på plattformen.

    Facebook er fortsatt navnet på plattformen, og navnet som brukerne forholder seg til.

    Siden analysen bak denne rapporten ble påbegynt før navneskiftet skjedde, kan det forekomme tilfeller av at selskapet benevnes som Facebook, selv om det korrekte skal være Meta.

    Risikovurdering

    Rapporten skal gi ledelsen et grunnlag for å vurdere Digdirs tilstedeværelse på Facebook. Den er utformet slik at den med små tilpasninger også skal kunne brukes til vurdering av andre tilsvarende kanaler. Vi nevner likevel at vurderingen alltid må bli konkret, siden GDPR bestemmer at egnede tiltak må tilpasses den aktuelle risikoen.

    Organisering og bakgrunnsarbeid

    Digdir ser på sosiale medier som en naturlig del av våre kommunikasjonskanaler. Datatilsynets vurdering og konklusjon om at det ikke ønsket å ha en side på Facebook gjorde at vi mener det er naturlig at også Digdir gjør en tilsvarende vurdering.

    Flere dommer fra EU-domstolen og den løpende mediedekningen av kontroversielle sider ved sosiale medier bidrar også til at vi ønsket å gjøre vår egen vurdering.

    Arbeidsgruppen som har gjort vurderingen består av to ressurser fra Digdirs kommunikasjonsavdeling og en ekstern ressurs med kompetanse på kommunikasjon og sosiale medier.

    Den juridiske vurderingen er gjort av en av Digdirs egne jurister med kompetanse på personvern, i samarbeid med personvernjurist fra Kluge advokatfirma. Vurderingen er forelagt Digdirs personvernombud.

    Gjennomføringen av vurderingen har tatt utgangspunkt i strukturen i Datatilsynets rapport og de verktøy Datatilsynet selv har brukt. Vi har vurdert Facebooks avtaleverk og annen dokumentasjon, i tillegg til de verktøy som er tilgjengelig for brukere av Facebook. Vi har også hentet informasjon fra EU-dokumenter og andre relevante kilder.

    Avgrensning

    Vi har gjort to avgrensninger i vurderingen:

    Vi vurderer ikke innhold Digdir selv publiserer på Facebook. Selv om dette innholdet i prinsippet kan inneholde personopplysninger, forutsetter vi at håndtering av disse er avklart i forkant av publisering på Facebook. Innhold som publiseres av Digdir på Facebook vil være det samme som publiseres på nettsiden vår og i andre kanaler, og vi har gode rutiner for å håndtere eventuelle personopplysninger uavhengig av hvilken kanal det publiseres i.

    Vi har avgrenset risikoanalysen til kun å gjelde den delen av behandlingen som Digdir har (felles) behandlingsansvar for. Dette betyr at behandlinger hvor Facebook er eneste behandlingsansvarlig, ikke blir risikovurdert her.

    Av de to EU-dommene Wirtschaftsakademie og Fashion ID fremgår det at eieren av en side på Facebook har felles behandlingsansvar med Meta (Facebooks eierselskap) fra og med innsamling av eventuelle personopplysninger til og med overføringen til Meta. Dommene beskriver også at eieren av en side ikke har behandlingsansvar for eventuelle behandling som skjer før og etter dette.

    I tillegg har Meta definert aggregering av personopplysninger på siden til statistikkformål for sidens administrator som et felles behandlingsansvar.

    Analysens omfang er altså punkt 2, 3 og 4. Punkt 1 og 5 er utenfor:

    1. Innsamling og behandling før brukeren besøker Digdirs side
    2. Innsamling av personopplysninger på Digdirs side
    3. Overføring av personopplysninger til Facebook
    4. Aggregering av personopplysninger til statistikkformål
    5. Behandling etter at opplysningene er overført og aggregert

    Aktører og roller

    Denne vurderingen tar sikte på å klargjøre roller og ansvar. Innenfor Digdirs felles behandlingsansvar er det tre aktører involvert: tilbyderen (Meta), eier av side (Digdir) og bruker (den registrerte).

    Som det følger av forrige kapittel har Digdir og Meta felles behandlingsansvar for innsamling av personopplysninger på Digdirs Facebook-side, overføring av disse til Meta og aggregeringen som er nødvendig for å generere statistikk til sidens Innsikt-funksjon.

    For eventuell behandling av personopplysninger før og etter dette er Meta behandlingsansvarlig alene. All denne behandlingen er regulert i brukeravtalen den registrerte inngår med Meta når de oppretter en brukerkonto på Facebook.

    Gjennomføring

    I denne vurderingen har vi tatt utgangspunkt i Datatilsynets maler for risikovurdering og vurdering av personvernkonsekvens.

    Vi har strukturert vurderingen og rapporten etter fremgangsmåten som er utarbeidet av Datatilsynet. Vi har kun vurdert den delen av behandlingen som Digdir har (felles) behandlingsansvar for.

    Vurderingen er gjort basert på offentlig tilgjengelig informasjon fra Meta, EU og Datatilsynets rapport.

    Vurderingen følger beslutningsprosessen som er beskrevet over.

    Basert på kartleggingen fant vi at det er lav risiko for den registrertes rettigheter og friheter. I vår vurdering av nødvendighet og proporsjonalitet fant vi at det er mulig å sette inn tiltak som reduserer den lave risikoen ytterligere.

    Vi mener ut fra dette at det ikke er behov for å gjennomføre en vurdering av personvernkonsekvenser (DPIA). Vi har likevel valgt å gjennomføre vurderingen for å være helt sikre på at vår innledende vurdering er riktig.

    De samlede vurderingene danner grunnlaget for en anbefaling til ledelsen på to spørsmål:

    1. Kan Digdir være på Facebook – er det juridisk forsvarlig for oss å ha en side på Facebook?
    2. Bør Digdir være på Facebook – er det etisk og moralsk riktig av oss å ha en side på Facebook?

    Arbeidsgruppen har bedt Digdirs jurister, med bistand fra Kluge Advokatfirma AS, om å kvalitetssikre vurderingen, i tillegg til å be om en vurdering av Digdirs personvernombud.

    På bakgrunn av arbeidsgruppens vurdering og anbefalinger besluttet ledergruppen at Digdir kan fortsette å ha en side på Facebook.

    Systematisk beskrivelse av behandlingen

    Art, omfang, formål og sammenheng

    Behandlingens art

    Innsamling

    Personopplysninger vil samles inn fra innhold som den registrerte selv skaper, altså ytringer og engasjement, enten dette fremkommer i relasjon til Digdirs egne publiseringer eller i toveiskommunikasjonen med brukere gjennom Facebooks meldingsfunksjon. I tillegg vil Meta samle inn observert data om brukere som ser innhold fra Digdirs side.

    Lagring

    Data som samles inn på Digdirs side lagres så lenge brukeren har en konto på Facebook.

    Deler av informasjonen slettes på brukerens forespørsel, mens all informasjon slettes 30 dager etter at brukeren har slettet sin konto på Facebook.

    Informasjonen deles globalt i Metas nettverk.

    Bruk

    Digdir vil bruke informasjonen på Facebook-siden til å drive opplysning og debatt. Noe av informasjonen vil også bli brukt til å skape aggregert statistikk.

    Meta vil behandle dataene til andre formål, men dette skjer utenfor Digdirs behandlingsansvar.

    Tilgang til opplysningene

    Publikum og Digdir vil ha tilgang til personopplysninger som deles i kommentarfeltet og til brukerens reaksjoner.

    Digdir vil også ha tilgang til direktemeldinger fra brukere og statistikkinformasjon som er et resultat av alle brukeres aktivitet på siden.

    Meta vil ha tilgang til alle personopplysninger, både fra innhold brukeren skaper på siden og fra brukerens aktiviteter.

    Hvem det skal samles inn opplysninger om

    Digdir vil bidra til innsamling av personopplysninger fra de som interagerer med siden. Det vil altså være tale om brukere som har sett, liker, deler og leser innhold (eller reagerer på andre måter på innholdet), og skriver (og sletter/skjuler) kommentarer selv på sidene.

    EU-domstolen har for øvrig fastslått at ansvaret for behandling av personopplysninger knyttet til personer uten en Facebook-konto, «appears to be even greater, as the mere consultation of the home page by visitors automatically starts the processing of their personal data.» (Se EU-domstolens sak C-210/16 (Wirtschaftsakademie) avsnitt 41). Rekkevidden av dette ev. forsterkede ansvaret er imidlertid ikke klart, og vil etter vårt skjønn kunne variere med tjenesten (Se også Susanna Lindroos-Hovinheimo, Who controls our data? The legal reasoning of the European Court of Justice in Wirtschaftsakademie Schleswig-Holstein and Tietosuojavaltuutettu v Jehovan todistajat. I: Information & Communications Technology Law, 2019, s. 8: « The Court also noted in passing that fan pages hosted on Facebook could also be visited by non-Facebook users without a user account on that social network. In such instances, the fan page administrator’s responsibility for the processing of personal data may be even greater …» [Vår understrekning]). Omfanget av innsamlede data er mindre for ikke innloggede brukere. Vi mener Digdirs tiltak vil kunne ivareta også personer uten en Facebook-konto på adekvat vis.

    Hvordan den registrerte kan utløse sine rettigheter

    Facebook har rutiner og verktøy som lar den registrerte utløse sine rettigheter. Det inkluderer innsyn i data, sletting av data og tilbakekallelse av aksept for behandling av data. Se beskrivelse i Vedlegg 3.

    Digdir kan bistå den registrerte i å utøve sine rettigheter ved å informere om disse mulighetene på sin side.

    I den grad den registrerte deler sensitive personopplysninger i kommentarfeltet eller direktemeldinger, vil Digdir fjerne disse og oppfordre den registrerte til å bruke mer egnede kanaler.

    Hvorvidt det vil være systematisk behandling av personopplysninger

    Begrepet «systematisk» er ikke definert i GDPR. Forgjengeren til Personvernrådet, Artikkel 29-gruppen, har antatt at det er behandling som:

    • skjer i henhold til et system
    • er forhåndsarrangert (planlagt)
    • organisatorisk eller metodisk skjer som følge av en plan om å samle inn personopplysninger
    • skjer som en del av en strategi

    Poenget er altså at det skjer en kontinuerlig behandling, som kan være inngripende overfor den registrerte personen.

    Digdir vil ikke utføre systematisk behandling av personinformasjon på siden.

    Meta vil utføre systematisk behandling, men det vil være utenfor rekkevidden av Digdirs behandleransvar.

    Bruk av ny teknologi/ny bruk av eksisterende teknologi

    Registreringen og overføringen av personinformasjon fra Digdirs Facebook-side er ikke å betrakte som ny teknologi etter vårt syn.

    Meta kan ta i bruk ny teknologi i sin videre behandling av informasjonen, men dette er utenfor rekkevidden av Digdirs behandleransvar.

    Behandlingens omfang

    Kategorier personopplysninger

    Meta vil samle inn opplysninger om brukeres handlinger/reaksjoner på siden.

    Brukere er mennesker som besøker siden. Disse vil i stor grad være Digdir sine målgrupper: Mennesker med interesse for digitalisering fra offentlig sektor, privat næringsliv og frivillig sektor. De fleste brukere vil være logget inn på Facebook, men det er også mulig å besøke siden uten å være logget inn eller ha en konto på Facebook.

    Brukere som ikke er logget inn på siden vil ikke kunne like, kommentere eller dele innhold, eller på annen måte utføre handlinger på siden. Informasjonen som samles inn vil derfor være begrenset til åpent tilgjengelig informasjon, som IP-adresse, type nettleser og liknende. Meta vil også samle inn informasjon om enheten brukeren benytter til å besøke siden med og andre metadata. Vi viser for øvrig til Datatilsynets rapport s. 11.

    Noen kategorier informasjon, som brukerens posisjon, vil registreres hvis brukeren har gitt sitt samtykke.

    Hvis brukeren kommenterer på en post, vil innholdet i kommentaren kunne klassifiseres som personopplysninger. Det samme gjelder direktemeldinger som ev. sendes til Digdir gjennom Facebooks meldingsfunksjon. Digdir har slått av direktemeldingsfunksjonen, og det vil dermed ikke utgjøre noen risiko i vår vurdering.

    Erfaringer fra vår kommunikasjon er at vi ytterst sjelden blir kontaktet av sårbare personer, og at det derfor ikke er et problem med personer som ønsker å dele private og inngående personopplysninger som vil falle inn under artikkel 9 (Se motsatt Datatilsynet rapport s. 11).

    Det er derfor ikke grunn til å forvente at brukere vil dele sensitive personopplysninger på siden, f.eks. særlige kategorier av opplysninger etter forordningen artikkel 9 nr. 1. men Digdir vil likevel moderere kommentarfeltet aktivt og fjerne eventuelle sensitive personopplysninger umiddelbart.

    Antall registrerte

    Ca. 1 450 mennesker følger Facebook-siden til Digdir. Den mest populære posten i 2020 ble sett av 7 500 mennesker. Vi antar derfor at innholdet som postes på Digdirs Facebook-side når ut til maksimalt 20 000 mennesker.

    Volumet av data

    Det er vanskelig å anslå volumet av data som samles inn om hver bruker som besøker Digdirs Facebook-side, da det er avhengig av hvilke tillatelser brukeren har gitt Facebook direkte og indirekte via enheten som brukes.

    I EU-domstolens avgjørelse Wirtschaftsakademie skriver domstolen at ansvaret avhenger av alle relevante forhold i saken (Se dommen, C-210/16 Wirtschaftsakademie, avsnitt 43). Vi tolker den uttalelsen som at Digdir har felles behandlingsansvar for de personopplysningene vår Facebook-side bidrar til å samle inn, ikke for personopplysningene som Meta samler inn uavhengig av siden.

    Basert på det resonnementet er det snakk om et begrenset volum av personinformasjon, bestående av aktiviteter brukeren utfører på siden og innhold brukeren publiserer i eventuelle kommentarer.

    Frekvens

    Behandlingen av personopplysninger kan i prinsippet skje når som helst. Erfaringsmessig vil frekvensen være høyest i timene etter at Digdir har delt en ny post på siden, og så avta etter hvert.

    Lagringstid

    Facebook lagrer personopplysningene til det som kommer først av at

    • de ikke lenger trenger personopplysningene for å levere Facebooktjenester og Meta-produkter, eller

    • brukerkontoen blir slettet på din forespørsel.

    Når du ber om sletting av kontoen din starter sletteprosessen etter 30 dager. Sletteprosessen kan ta opptil 90 dager. I tillegg kan noe informasjon fremdeles finnes på sikkerhetskopier etter 90 dager.

    Et eksempel på personopplysninger som slettes før brukeren selv ber om sletting er søkehistorikk, der Facebook oppgir 6 måneder.

    Dersom brukeren eller Digdir sletter en brukers interaksjon gjort på Digdirs Facebookside vil det fortsatt ligge i brukerens aktivitetsloggen til det slettes fra aktivitetsloggen.

    Geografisk omfang

    Digdirs Facebook-side er tilgjengelig for brukere fra hele verden. Innholdet på siden er imidlertid skrevet på norsk, så det store flertallet av brukere forventes å være nordmenn. I skrivende stund er mer enn 99% av de besøkende på siden de siste 7 dagene fra Norge.

    Behandlingens formål

    Formål

    Facebook behandler personopplysninger til en rekke formål:

    1. tilby tilpassede tjenester, samt forbedre dem
    2. utføre målinger og analyse for å støtte sine samarbeidspartnere, slik som annonsører
    3. fremme sikkerhet for å detektere uønsket materiale og for å opprettholde produktenes integritet,
    4. kommunisere med sine brukere og bistå
    5. støtte forskning og innovasjon

    Digdir har to formål med å ha en egen side på Facebook:

    1. Nå ut til flest mulig av landets innbyggere med innhold vi publiserer. Her er Facebook en kanal som kan bidra til at vi når flere mennesker enn vi gjør gjennom nettsiden og andre kanaler.
    2. Stimulere til dialog om temaene vi arbeider med, både mellom oss og innbyggerne og mellom innbyggerne.

    Digdir betaler av og til for annonsering på Facebook og i andre sosiale medier. Det gjør vi først og fremst for å nå ut til enda flere med stillingsannonser og informasjon om arrangementer og lignende.

    Digdir har formål som forankres i målene i statens kommunikasjonspolitikk, som er at innbyggerne skal:

    • få korrekt og klar informasjon om sine rettigheter, plikter og muligheter
    • ha tilgang til informasjon om statens virksomhet
    • inviteres til å delta i utformingen av politikk, ordninger og tjenester

    To av forutsetningene for å få til dette er å kommunisere og informere målrettet og effektivt slik at målgruppene nås, og utnytte mulighetene som ligger i ny teknologi og nye kanaler effektivt og formålstjenlig.

    Kontrollformål

    Vår vurdering er at Meta ikke behandler personopplysninger til kontrollformål.

    Treffe avgjørelser om den registrerte basert på systematisk/omfattende analyse

    Meta bruker personopplysningene til å bestemme hvilke poster og annonser som presenteres for brukeren.

    Meta gir brukeren innsyn i begrunnelsen som ligger til grunn for at hver enkelt post eller annonse er valgt ut. Brukeren kan selv påvirke utvalget ved å korrigere grunnlaget for den automatiske utvelgelsen.

    Brukeren har tilgang til en kronologisk liste med poster som ikke er påvirket av personopplysningene som er samlet inn. Unntaket fra dette er at annonsene som vises i denne nyhetsstrømmen er valgt på samme grunnlag som annonsene i den ordinære nyhetsstrømmen. Se vedlegg 3.

    Betydningsfulle beslutninger for den registrerte

    Vår vurdering er at Meta mest sannsynlig ikke treffer beslutning som omfattes av definisjonen på betydningsfulle beslutninger som er beskrevet i Artikkel 22. («…som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende.»)

    Profilere

    Meta benytter personopplysninger til å lage en profil på brukere. Brukerne har innsyn i og mulighet til selv å korrigere denne profilen. Profilen benyttes til å bestemme hvilke poster og annonser brukeren får se i sin nyhetsstrøm.

    Avdekke ukjente sider/gjenkjenne mønstre

    Meta bruker personopplysninger til å lage en profil på brukere som beskrevet over. Vi er ikke kjent med at Meta på annen måte bruker personopplysningene til å avdekke ukjente sider eller gjenkjenne mønstre hos brukere.

    Viderebehandling av personopplysninger til nye formål

    Vi er ikke kjent med at Meta viderebehandler personopplysninger til nye formål ut over det som beskrives i avtalen mellom brukeren og Meta.

    Behandlingens sammenheng

    Kilder

    Meta vil samle inn opplysninger om brukeres handlinger på siden. Det gjelder for eksempel om brukeren liker, kommenterer eller deler en post.

    Hvis brukeren kommenterer en post vil innholdet i kommentaren kunne klassifiseres som personopplysninger. Vi vil her understreke at Digdir har stengt muligheten for å sende direktemeldinger via Facebooks funksjon for direktemeldinger – noe som også vil gjenspeiles i vår risikovurdering under.

    Meta vil også kunne samle personopplysninger fra brukerens enhet, metadata og andre kilder, men dette faller utenfor Digdirs felles behandlingsansvar.

    Relasjon

    Digdir er en offentlig myndighet. Brukerne vil derfor kunne oppfatte oss som en betydningsfull aktør.

    Meta eier og drifter plattformen. Deres relasjon til brukeren vil være som tjenesteleverandør.

    Den registrertes kontroll over sine personopplysninger

    Den registrerte har kontroll over sine personopplysninger på Facebook på flere nivåer. Innhold de selv har delt kan de selv også slette.

    Alle brukere på Facebook har en egen aktivitetslogg hvor alle aktiviteter er registrert. Her kan brukeren også skjule eller slette aktiviteter. Aktiviteter som slettes fra aktivitetsloggen vil også slettes fra Facebook. Aktivitetsloggen og andre personvernverktøy er beskrevet i Vedlegg 3.

    Brukeren kan også bestille en utskrift av all personlig informasjon som er lagret hos Facebook.

    Hvis brukeren sletter sin Facebook-konto vil alle data knyttet til brukeren bli slettet etter 30 dager.

    Den registrertes kontroll over sine personopplysninger er beskrevet og regulert gjennom avtalen mellom brukeren og Facebook.

    Behandlingens forutsigbarhet for brukeren

    Brukeren har tilstrekkelig forutsigbarhet om behandlingen både gjennom aktivitetsloggen som er nevnt over, profilinformasjonen og andre verktøy som er tilgjengelige under brukerens personvernmeny. Se Vedlegg 3.

    Særskilt forventning om konfidensialitet

    Vi tror at brukerne ikke har en særskilt forventning om konfidensialitet, siden hensikten med Facebook er å kommunisere med andre.

    Et unntak kan være dersom brukeren sender direktemeldinger til Digdir gjennom Facebooks meldingsfunksjon. Dersom dette er tilfelle, vil vi umiddelbart be brukeren om å slette eventuell konfidensiell informasjon og benytte en trygg kanal. Meldingsfunksjonen er som nevnt slått av.

    Særskilt forventning om nødvendig og korrekte opplysninger

    Dette anser vi for å ikke være relevant. Brukeren er selv kilden til personopplysninger, og har gode muligheter for å kontrollere informasjonen som er registrert.

    Særskilt forventning om privatliv

    Formålet med å bruke Facebook er å kommunisere med andre. Det er derfor ingen grunn til å anta at brukere har forventninger om privatliv.

    Et unntak kan være ved bruk av direktemeldinger, som nevnt over.

    Personopplysninger om barn, pasienter eller andre sårbare kategorier personer

    Brukerne vil i stor grad være Digdir sine målgrupper: Mennesker med interesse for digitalisering fra offentlig sektor, privat næringsliv og frivillig sektor.

    Vi har ingen grunn til å tro at det vil behandles personopplysninger om barn, pasienter eller andre sårbare kategorier personer i tilknytning til Digdirs side på Facebook. Innholdet som så langt er lagt ut på Facebook-siden indikerer heller ikke at særlige kategorier av personopplysninger vil bli behandlet.

    Tidligere erfaring med tilsvarende type behandling

    Facebook og andre tilsvarende plattformer har eksistert i over 15 år, så typen behandling er godt kjent. Digdir har flere års erfaring med sosiale medier.

    Eventuelle relevante fremskritt innen teknologi eller sikkerhet

    Facebook er under kontinuerlig utvikling. Det har vært gjort betydelige fremskritt når det gjelder brukernes tilgang til og kontroll med egne personopplysninger. Det samme gjelder sikkerheten knyttet til personopplysninger. Se Vedlegg 2.

    Allmenn bekymring omkring den beskrevne måten å behandle personopplysninger på

    Facebook er i et konstant søkelys for sin behandling av personopplysninger. Dette har vært en viktig faktor i utviklingen som er omtalt over.

    Behandling av personopplysninger fra ulike datasett, for ulike formål, fra ulike behandlingsansvarlige, samt kobling fra ulike registre for å gi ny type informasjon om den registrerte

    Personopplysninger fra Facebook kobles ikke med data fra tredjepart eller eksterne registre.

    Ansvarsforhold, kilder og mottakere

    Identifisering av behandlingsansvarlig, felles behandlingsansvarlig og databehandlere

    Meta er behandlingsansvarlig.

    Digdir har felles behandlingsansvar med Meta for innsamling av personopplysninger på vår Facebook-side, overføringen av disse til Meta og sammenstillingen av statistikkinformasjon for siden.

    Identifisering av mottaker av personopplysninger

    Deler av personopplysningene vil kunne være åpent tilgjengelig på Digdirs Facebook-side. Digdir vil ha tilgang på ytterligere noen personopplysninger som administrator av siden.

    For øvrig vil Meta være mottaker av personopplysningene. De informerer om enkelte andre potensielle mottakere (tjenesteleverandører, forskere osv.). Ifølge Datatilsynet er det slik at «Facebook overfører data innenfor Facebookkonsernet, til tjenesteleverandører og til tredjeparter, og andre partnere.»(Datatilsynets rapport s. 15.) Meta står for denne behandlingen av personopplysninger uten at Digdir medvirker eller bestemmer over behandlingen.

    Identifisering av dataflyt, lagring og mellomlagring

    Facebook overfører personopplysninger til egne datasentre både innenfor og utenfor EU/EØS.

    Overføringen av data mellom datasentrene skjer, ifølge Facebook, etter Standard Contractual Clauses med nødvendige tilpasninger i samsvar med Personvernrådets veiledning etter EU-domstolens Schrems II-dom.

    Personopplysningssikkerhet

    Facebook sier at de årlig har en tredjepart SOC 2 type II-revisjon relatert til databehandlingstjenestene, og annen revisjon etter bransjestandard som anses passende av Facebook som del av Facebooks revisjonsprogrammer.

    Oppsummering av systematisk beskrivelse av behandlingen

    I dette kapittelet har vi fremlagt en beskrivelse av behandlingen av personopplysninger som skjer ved å opprette og kommunisere gjennom en side på Facebook. Gjennom beskrivelsen av art, omfang, formål og sammenheng kan vi utlede en første identifisering av risiko for den registrertes personvern og rettigheter og friheter. Vi oppsummerer risikoene og arbeidsgruppens vurderinger av dem under:

    Risiko knyttet til behandlingens art

    • Vi mener det er liten risiko knyttet til behandlingens art innenfor de behandlingene Digdir har felles behandlingsansvar for.
    • Behandlingens art utenfor Digdirs felles behandlingsansvar er godt beskrevet i Facebooks Data policy. Vi mener at denne behandlingen derfor ikke påvirker risikoen ved behandlingens art for oss.

    Risiko knyttet til behandlingens omfang

    • Omfanget av personopplysninger som behandler innenfor Digdirs felles behandlingsansvar er begrenset, både i omfang og frekvens.
    • Det er meget liten risiko for at brukerne vil dele sensitive personopplysninger på Digdirs side.
    • Vi mener at det er liten risiko knyttet til behandlingens omfang.

    Risiko knyttet til behandlingens formål

    • Personopplysninger benyttes ikke til kontrollformål eller til å treffe betydningsfulle beslutninger om den registrerte.
    • Meta benytter personopplysninger til å lage en profil på brukere. Brukerne har innsyn i og mulighet til selv å korrigere denne profilen. Profilen benyttes til å bestemme hvilke poster og annonser brukeren får se i sin nyhetsstrøm.
    • Vi er ikke kjent med at Meta viderebehandler personopplysninger til nye formål.
    • Vi mener det er liten risiko knyttet til behandlingens formål.

    Risiko knyttet til behandlingens sammenheng

    • Brukerne har god innsikt i og kontroll over sine personopplysninger gjennom personvernverktøyene i Facebook.

    Vi har ingen grunn til å tro at det vil behandles personopplysninger om barn, pasienter eller andre sårbare kategorier personer i tilknytning til Digdirs side på Facebook. Vi mener det heller ikke behandles særlige kategorier av personopplysninger. Dersom slike opplysninger skulle dukke opp vil disse bli fjernet ved moderering.

    • Facebook er under kontinuerlig utvikling. Det har vært gjort betydelige fremskritt når det gjelder brukernes tilgang til og kontroll med egne personopplysninger.
    • Vi mener det er liten risiko knyttet til behandlingens sammenheng.

    Vi vurderer at Digdirs samsvar med personvernforordningen artikkel 26 er som følger (se vedlegg 1):

    • Digdir oppfyller artikkel 26(1) i personvernforordningen.
    • Digdir oppfyller artikkel 26(2) i personvernforordningen.
    • Digdir oppfyller artikkel 26(3) i personvernforordningen.
      • Vi antar det likevel vil være fordelaktig om Digdir utformer en egen personvernerklæring, som tydelig angir rammene for behandlingen og hvordan registrerte personer kan henvende seg eller gå frem for å få oppfylt rettigheter.

    Videre oppsummerer vi vår vurdering av hvorvidt behandlingens personopplysningssikkerhet (Vedlegg 2) er ivaretatt:

    • En av de klareste truslene vi har identifisert er nettroll og andre aktivister som har forstyrrende hensikter. Vår erfaring tilsier imidlertid at denne risikoen er veldig liten, og at den kan reduseres ytterligere gjennom aktiv moderering. Vi går også særskilt inn på spørsmålet om brudd på konfidensialitet, som følge av Digdir-tilknyttede personers feil.
    • I sårbarhetsvurderingen har vi funnet to sårbarheter med risikonivå Moderat. Risikoen kan imidlertid reduseres til Lav gjennom aktiv moderering.
    • I sum vurderer vi derfor at behandlingens personopplysningssikkerhet er ivaretatt.

    Vi gjør oppmerksom på at konklusjonen i stor grad hviler på hvilke konkrete utfordringer direktoratet står overfor, herunder Digdirs rolle og brukergrupper. Andre offentlige organer må vurdere dette konkret, og kan komme til andre konklusjoner.

    Nødvendighet og proporsjonalitet ved behandlingen – Interesseavveining

    Rettslig grunnlag

    Digdirs rettslige grunnlag for å ta i bruk en side på Facebook vil være personvernforordningens artikkel 6(1)(f) interesseavveiing. Dette rettslige grunnlaget gir oss som virksomhet anledning til å behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.

    Meta benytter flere behandlingsgrunnlag overfor den enkelte bruker avhengig av type behandling, for eksempel kontrakt, samtykke, legitime interesser, i allmennhetens interesse og rettslige forpliktelser.

    Digdirs interesser

    Digdirs interesse er å informere befolkningen og stimulere til dialog.

    Fordelen Digdir oppnår ved å ha en Facebookside er at vi blir lettere tilgjengelig for en større del av befolkningen.

    Digdirs tilstedeværelse på Facebook er i offentlighetens interesse ved at den gjør informasjon fra direktoratet lettere tilgjengelig for befolkningen.

    Hensynet til personvernet

    Ved å ha en side på Facebook vil Digdir bidra til å generere personopplysninger. Volumet av personopplysninger som genereres fra Digdirs tilstedeværelse vil imidlertid utgjøre en veldig liten del av det totale volumet av personopplysninger som brukerens generelle bruk av Facebook vil generere. Det er videre svært liten risiko for at noen av personopplysningene som genereres fra Digdirs Facebook-side vil være av sensitiv art.

    Tiltak for å minimere personvern-konsekvensene

    Digdir vil moderere siden fortløpende og fjerne eventuelle sensitive opplysninger som legges inn på siden.

    Personvernprinsippene

    Rettferdighet

    Digdir mener behandlingen av personopplysninger på vår Facebook-side er rettferdig. Omfanget av personopplysninger som samles inn er begrenset, brukerne har innsyn i hva som registreres og de kan slette informasjon om de ønsker det. Etter vår oppfatning vil dette oppfattes som en rimelig og balansert behandling av personopplysninger (Se vedlegg 3).

    Brukerens generelle bruk av Facebook medfører et betydelig større omfang av innsamling av personopplysninger. Brukeren har imidlertid innsyn og mulighet til å kontrollere disse opplysningene. Denne registreringen er dessuten utenfor Digdirs felles behandlingsansvar.

    Åpenhet

    Brukerne har god innsikt i hvilken informasjon Facebook samler om dem gjennom en rekke verktøy på personvernmenyen. Her har brukeren også mulighet til å korrigere og slette informasjon.

    Formålsbegrensing

    Digdirs formål er begrenset til informasjon og dialog.

    Metas formål er videre definert. Vi mener imidlertid at disse er godt dokumentert i informasjonen til brukerne.

    Dataminimering

    Vår vurdering er at omfanget av personopplysninger som samles inn gjennom Digdirs Facebook-side er så begrenset som det er mulig å gjøre på en plattform som Facebook.

    Riktighet

    Siden brukeren selv er kilde til personopplysningene som registreres, er vi trygge på at opplysningene som registreres er riktige. Brukeren har også gode verktøy tilgjengelig for å korrigere eller slette registrerte opplysninger (Se vedlegg 3).

    Lagringsbegrensning

    Digdirs felles behandlingsansvar gjelder kun innsamling, overføring og statistisk aggregering av personopplysninger på vår Facebook-side. De to EU-dommene omtalt i vedlegg 1 angir eksplisitt at vi ikke er medansvarlige for behandlingen etter dette. Etterfølgende lagring av informasjonen er derfor utenfor vårt ansvarsområde.

    Dette er også regulert av avtalen mellom brukeren og Facebook.

    Integritet og konfidensialitet

    Vår vurdering er at Facebook har ivaretatt personopplysningssikkerheten på en tilstrekkelig måte. Dette skyldes særlig at brukerne (frivillig) legger ut informasjon som er offentlig, og må forvente at andre kan se informasjonen. Det er også lite trolig at informasjonen endres på uautorisert vis.

    De registrertes rettigheter og friheter

    Facebook har en rekke verktøy som gir brukerne innsyn i og kontroll med sine egne personopplysninger. Verktøyene er samlet på en egen meny, og har intuitive og enkle brukergrensesnitt. Se mer informasjon i vedlegg 3.

    Brukerne må gi aktivt samtykke for å registrere en konto på Facebook. Den registrertes rettigheter og friheter for den generelle behandlingen av personopplysninger på Facebook er regulert i avtaleverket mellom brukeren og Meta.

    Facebook har også rutiner for brukere som ønsker å motsette seg behandlingen av brukeropplysninger. Disse er ikke like lett tilgjengelige og intuitive som de øvrige personvernverktøyene.

    Artikkel 25 Krav om innebygget personvern og personvern som standardinnstilling

    Spørsmålet er om det vil være mulig for Digdir å tilfredsstille kravene i artikkel 25 i personvernforordningen om innebygget personvern og personvern som standardinnstilling dersom vi tar i bruk Facebook (Datatilsynets rapport s. 6).

    Direktoratet mener kravene i stor grad vil gjenspeile målgruppe, type personopplysninger, rolle og (tilhørende) risiko knyttet til sin side. Det får også betydning for kravene til konkrete tiltak på dette punkt.

    Ved vurderingen av om Digdir oppfyller kravene i artikkel 25, må det bl.a. «tas hensyn til den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i», jf. artikkel 25 nr. 1.

    Etter vårt skjønn tilsier situasjonen at det ikke kreves ytterligere tiltak utover de som er på plass, jf. være øvrige resonnementer om risiko. Dette må også sees i lys av gjennomføringskostnader.

    Facebook har en rekke verktøy som gir brukerne innsyn i og kontroll med sine egne personopplysninger. Verktøyene er samlet på en egen meny, og har intuitive og enkle brukergrensesnitt. (Se vedlegg 3)

    Vi mener disse verktøyene dekker kravene i Artikkel 25 for personopplysninger som samles inn og behandles på Digdirs Facebook-side.

    Oppsummering av nødvendighet og proporsjonalitet

    I dette kapittelet har vi beskrevet og vurdert nødvendigheten og proporsjonaliteten av behandlingen av personopplysninger på Digdirs Facebook-side. Vår vurdering er som følger:

    • Digdir har et rettslig grunnlag for å være til stede på Facebook, og volumet av personopplysninger som behandles innenfor vårt felles behandlingsansvar er begrenset.
    • Personvernprinsippene er ivaretatt gjennom verktøyene som er tilgjengelig for den registrerte på Facebook.
    • Den registrertes rettigheter og friheter er ivaretatt gjennom de samme verktøyene.
    • Vi mener kravene til innebygget personvern i artikkel 25 er ivaretatt, sett i lys av risikobildet.
    • Vi vurderer at nødvendighet og proporsjonalitet er ivaretatt.

    Vurdering av risiko for den registrertes rettigheter og friheter

    Må vi utføre en DPIA?

    Personvernforordningen artikkel 35 slår fast at en vurdering av personvernkonsekvenser (DPIA) skal gjennomføres når det er sannsynlig at en viss type behandling av personopplysninger medfører høy risiko for at de registrertes rettigheter og friheter etter forordningen ikke ivaretas.

    Basert på risikoene vi identifiserte i den systematiske beskrivelsen med hensyn til art, omfang, formål og sammenheng, og konklusjonen vi kom frem til i vår vurdering av nødvendighet og proporsjonalitet, har vi kommet frem til at det å ta i bruk Facebook som kommunikasjonsplattform ikke medfører risiko for de registrertes rettigheter og friheter i betydelig grad. Teknologien Facebook baserer seg på er også velkjent og relativt utbredt.

    Vi mener derfor at det for Digdirs del ikke er nødvendig å utføre en DPIA.

    Vi har likevel valgt å gjøre det for å forsikre oss om at vår konklusjon er riktig. Vi mener også at det er fornuftig å gjennomføre en DPIA fordi Datatilsynet i sin vurdering mente at en DPIA burde gjennomføres.

    Vurdering av manglende reell medbestemmelse, åpenhet og forutsigbarhet

    I vår DPIA vurderer vi reell medbestemmelse, reell åpenhet, reell forutsigbarhet ved behandlingen for å kontrollere om behandlingen kan gjennomføres på en måte som er akseptabel og tillitsskapende overfor den registrerte.

    Reell medbestemmelse

    Vi knytter først og fremst grad av medbestemmelse til den registrertes rettigheter etter personvernforordningen.

    Det er opp til den enkelte å benytte Facebook som informasjons- og kommunikasjonsplattform. Den registrerte velger selv å opprette profil og forelegges tjenestens avtalevilkår ved opprettelse av profil på plattformen.

    I Facebook har den registrerte rett og mulighet til, utover å bli informert, å få tilgang til (innsyn), korrigere (retting), overføre (dataportabilitet) og slette egne data. Etter loven har også den registrerte rett til å motsette seg (protestere) og begrense bestemte behandlinger av personopplysninger.

    En bruker kan trekke tilbake samtykket sitt i forbindelse med bestemte typer behandling på Facebook, eksempelvis behandling av spesialkategorier av personopplysninger eller bruk av lokasjonsdata. En bruker kan velge å slette sin konto på Facebook når som helst.

    For ordens skyld nevnes at det heller ikke er oppdaget tilfeller der personer omtales på en måte som kan utgjøre en nevneverdig trussel mot personvern mv.

    Den registrerte kan kontakte Facebook via et kontaktskjema, via post eller gjennom dedikert datatilsynsansvarlig hos Facebook Ireland Ltd. Den registrerte har også rett til å fremme en klage til Facebook Irelands ledende tilsynsmyndighet, Irish Data Protection Commission, eller via Datatilsynet.

    Den registrerte vil videre har valgfrihet gjennom plattformens funksjoner, hvor både innhold og observerte opplysninger kan inspiseres, redigeres og slettes.

    For så vidt gjelder utøvelse av rettigheter, vil vi understreke at det ikke er noe i veien for at rettigheter kan utøves ved at brukere selv i stor grad styrer utøvelsen av dem gjennom hjelpemidler. Det er ikke noe krav om at den behandlingsansvarlige må utføre all aktivitet knyttet til utøvelse av rettigheter. Eksempelvis heter det i fortalepunkt 63 i GDPR, knyttet til retten til innsyn etter GDPR artikkel 15, at: «Dersom det er mulig, bør den behandlingsansvarlige kunne gi fjerntilgang til et sikkert system der den registrerte kan få direkte tilgang til egne personopplysninger.» Vi anser derfor at den registrerte har reell medbestemmelse på Facebook.

    Reell åpenhet

    Facebook beskriver behandlingen av personopplysninger i sin personvernerklæring og en lang rekke andre offentlige dokumenter som man finner på plattformen.

    Den registrerte har innsyn og kontroll med sine personopplysninger gjennom en rekke personvernverktøy på plattformen. Det er også mulig å laste ned en enda mer detaljert oversikt enn det som er tilgjengelig gjennom verktøyene. (Se vedlegg 3)

    Vi vil for ordens skyld nevne at GDPR ikke oppstiller krav til en bestemt måte å formidle informasjon på, og at den behandlingsansvarlige har et visst handlingsrom for oppfyllelse av informasjonsplikten. Forgjengeren til det europeiske Personvernrådet, Artikkel 29-gruppa, påpeker at metodene for å tilby informasjon må være «appropriate to the particular circumstances, i.e. the manner in which the data controller and data subject interact or the manner in which the data subject’s information is collected.» (Artikkel 29-gruppa, Guidelines on transparency under Regulation 2016/679 (WP260 rev.01), s. 12.). Ut fra de konkrete omstendigheter her, antar Digdir at informasjonen tilbys på adekvat vis.

    Vi anser derfor at den registrerte har reell åpenhet på plattformen.

    For å styrke åpenheten, vil vi likevel anbefale å utarbeide en egen personvernerklæring for Digdirs del, som kan lenkes til på siden.

    Reell forutsigbarhet

    Meta har gode beskrivelser av hvordan de behandler personopplysninger, både i brukeravtalen den registrerte har inngått med selskapet, i personvernverktøyene på plattformen og i hjelpefunksjonen.

    Det må også forutsettes at den enkelte bruker (som benytter Digdirs side) jevnt over er kompetent og er i stand til å sette seg inn i Facebooks behandling og finne frem til informasjon.

    Vi anser derfor at den registrerte har reell forutsigbarhet på plattformen, jf. "Behandlingens forutsigbarhet for brukeren" og "De registrertes rettigheter og friheter".

    Hva kan vi gjøre for å opparbeide tillit?

    Digdir vil ha en beskrivelse av hvordan den registrerte kan ivareta sine rettigheter på vår Facebook-side.

    Notat fra personvernombudet (PVO)

    Rapporten er forelagt Digdirs personvernombud. Innspillene fra personvernombudet er tatt inn i rapporten.

    Oppsummering av risiko for den registrertes rettigheter og friheter

    • Vi mener risikosituasjonen knyttet til Digdirs Facebook-side er en annen enn den Datatilsynet står overfor.
    • Vi vurderer at det ikke er nødvendig for Digdir å gjennomføre en DPIA. Vi har likevel valgt å gjøre det for å forsikre oss om at våre vurderinger er riktige.
    • Vi vurderer at den registrerte har reell medbestemmelse, åpenhet og forutsigbarhet på Facebook.
    • Vi mener derfor at den registrertes rettigheter og friheter er ivaretatt.

    Planlagte tiltak for å håndtere risikoen

    Vi har ikke avdekket risikoer som krever spesiell håndtering. Vi anbefaler likevel noen tiltak.

    • Digdir bør ha rutiner for å moderere Facebook-siden aktivt, slik at utilsiktet deling av personopplysninger fra brukere kan stoppes.
    • Digdir bør fortsatt avstå fra å bruke meldingsfunksjonen på Facebook-siden, da den kan skape et inntrykk av at kommunikasjonen der er lukket.
    • Digdir bør utforme en egen personvernerklæring, for å lette brukernes mulighet for å finne frem til relevant informasjon.

    Etisk vurdering

    I tillegg til den juridiske vurderingen om Digdir kan ha en side på Facebook, har vi også gjort en vurdering om det er etisk riktig for Digdir å ha en side på Facebook.

    Det har den siste tiden vært mange diskusjoner om de etiske og moralske sidene ved Facebook og andre sosiale medier. Spredning av falske nyheter, trakassering og negativ påvirkning på unge er noen av problemene som forsterkes gjennom sosiale medier. Meta bruker store ressurser på å adressere disse problemene, men innrømmer selv at de ikke klarer å bli kvitt dem.

    For å vurdere om det er etisk riktig av Digdir å ha en side på Facebook, vurderer vi hvilke fordeler, ulemper og risikoer det medfører, og om fordelene oppveier ulempene og risikoene.

    Fordeler

    Ved å ha en side på Facebook vil vi nå ut til et bredere lag av befolkningen med innholdet vi publiserer. I tillegg til at vi når flere mennesker enn de som kjenner til nettsidene våre, har vi mulighet til å nå ut til dem som ikke kjenner så godt til oss fra før. Ifølge IPSOS Norges rapport for Q4 2021, oppgir 65 % av den norske befolkning over 18 år, at de bruker Facebook hver dag. For å se innholdet som publiseres på nettsiden, må brukeren gå aktivt inn og se etter innholdet. På Facebook vil mange brukere bli eksponert for innholdet uten at de har aktivt søkt etter det.

    En side på Facebook gjør det også mulig for oss å bruke annonsefunksjonen til å nå ut til enda flere mennesker med stillingsannonser og invitasjoner til Digdirs arrangementer.

    Gjennom innhold som postes på Digdirs Facebook-side kan vi også ha dialog med innbyggerne på en helt annen måte enn gjennom våre tradisjonelle kommunikasjonskanaler. Terskelen for å innlede en dialog i kommentarfeltet på Facebook er lavere, enn gjennom e-post, telefon eller brev. Vi antar derfor at vi gjennom Facebook vil kunne ha dialog med flere brukere som ellers ikke ville ha tatt kontakt.

    I krisetilfeller vil Facebook være en kanal som kan bidra til at vi når ut til befolkningen med informasjon, også om andre kommunikasjonskanaler er ute av funksjon

    Digdir er regjeringens spydspiss i arbeidet med digitalisering og bruk av digitale løsninger i forvaltningen og samfunnet for øvrig. Det er derfor viktig at vi selv er til stede på de digitale plattformene som er mest brukt av befolkningen.

    Ulemper

    Ved å ha en side på Facebook vil vi i noen grad bidra til å legitimere Facebook som plattform. Meta betaler lite skatt til Norge, og det kommer jevnlig kritikk av selskapets manglende vilje til å motarbeide spredning av uønsket innhold på plattformen.

    Meta lagrer ikke data fra norske brukere i Norge. Informasjonen som samles inn sendes mellom selskapets datasentre rundt i verden.

    Informasjon som deles på Facebook er stort sett bare tilgjengelig for brukere som har opprettet konto på plattformen. All vesentlig informasjon som publiseres på Digdirs Facebook-side vil imidlertid også være tilgjengelig på nettsiden eller andre åpent tilgjengelige kanaler.

    Det kan argumenteres for at Digdir ut fra et etisk perspektiv kan være ansvarlig for Facebooks etterfølgende behandling (Datatilsynets rapport s. 31). Vi oppfatter imidlertid at dette er et standpunkt som kan problematiseres, og at det derfor har mer beskjeden vekt.

    Risikoer

    Facebook har i løpet av de siste årene vært involvert i en rekke problematiske situasjoner, slik som Cambridge Analytica-skandalen. Vi har vurdert om muligheten for at flere tilsvarende situasjoner skulle oppstå vil kunne være en omdømmerisiko for Digdir. Vi mener imidlertid at Facebook/Meta har en så mye sterkere merkevare nasjonalt enn Digdir, at vi tror omdømmerisikoen for Digdir er liten.

    Ved å bruke en Facebook-side som kommunikasjonskanal, vil vi til enhver tid være prisgitt de endringer Meta gjør i regler, algoritmer og funksjoner på plattformen. Den største risikoen knyttet til dette er at vi ikke vil ha like stor nytte av Facebook som kommunikasjonsplattform. Denne risikoen minimeres ved at vi bruker andre kanaler i tillegg til Facebook ved all kommunikasjon av vesentlig karakter.

    Det er en risiko for at personer med ondsinnede hensikter kan bruke Digdirs Facebook-side til å spre usanne, uakseptable eller annen form for uønskede utsagn. Vår erfaring er at denne risikoen kan minimeres ved hjelp av aktiv moderering av siden. Facebook har også flere verktøy som kan bidra til å redusere denne risikoen.

    Det synes rimelig å legge til grunn en noe høyere standard for offentlige aktører, ved at offentlig sektor bør redusere tilrettelegging for og deling av data om folk med kommersielle aktører. Dette må imidlertid vurderes opp mot andre hensyn, og vi mener behovet for tilstedeværelse og informasjonsspredning veier mer enn dette momentet.

    Sammendrag etisk vurdering

    Det er både fordeler, etiske ulemper og etisk risiko forbundet med å ha en side på Facebook for Digdir. Vi mener imidlertid at fordelene oppveier ulempene og risikoene.

    En forutsetning for denne vurderingen er at Digdir bruker andre, åpne kanaler samtidig for all informasjon av vesentlig karakter.

    Selv om Digdir har en sentral rolle i å ivareta personvern, har ikke direktoratet f.eks. et tilsynsansvar. Direktoratet skal også i stor grad fremme bruk av digitale løsninger. Videre har direktoratet i større grad enn mange andre offentlige aktører et ansvar for å formidle informasjon til bransjer som følger aktivt med på digitaliseringstrender.

    Vår vurdering er oppsummert at Digdir bør ha en side på Facebook.

    Anbefaling

    Denne rapporten er arbeidsgruppens vurdering av om Digdir kan og bør fortsette med å ha en side på Facebook. Selv om vi har vurdert det som ikke nødvendig, valgte vi likevel å gjennomføre en Vurdering av personvernkonsekvenser (DPIA) for å sikre et best mulig beslutningsgrunnlag.

    Vi har vurdert om Digdir kan og bør være på Facebook. Vår anbefaling til ledelsen er at Digdir både kan og bør være på Facebook.

    Kan Digdir være på Facebook?

    Lovlighet eller ansvarlighet ved å ha en Facebook-side må vurderes konkret (Datatilsynets rapport s. 5). I denne forbindelse er det sentralt med en konkret, tilpasset gjennomgang av faktum og rettslige krav.

    Etter en grundig vurdering har vi kommet fram til at behandlingen av personopplysninger som skjer ved at Digdir har en side på Facebook, medfører lav risiko for den registrertes rettigheter og friheter.

    Arbeidsgruppen anbefaler derfor å beslutte at Digdir kan ha en side på Facebook.

    Bør Digdir være på Facebook?

    Selv om Digdir juridisk sett kan ha en side på Facebook, er det også relevant og riktig å vurdere om det er etisk riktig for Digdir å ha en side på Facebook.

    Vi har vurdert fordelene ved at Digdir har en side på Facebook opp mot de etiske ulempene og risikoene, og kommet frem til at fordelene oppveier ulempene og risikoene.

    Arbeidsgruppen anbefaler derfor å beslutte at Digdir bør ha en side på Facebook.

    Ledelsens beslutning

    Ledelsen tok arbeidsgruppens anbefalinger til følge, og besluttet at Digdir skal ha en side på Facebook.

    Vedlegg 1 – Vurdering av felles behandlingsansvar

    Hva er felles behandlingsansvar?

    Personvernforordningen slår fast at to eller flere behandlingsansvarlige kan ha et felles behandlingsansvar (GDPR artiklene 4 nr. 7 og 26).

    Et felles behandlingsansvar oppstår når to eller flere separate behandlingsansvarlige i felleskap beslutter formål og de avgjørende midlene i behandlingen, eller når beslutningene deres om formål og avgjørende midler konvergerer. Det oppstår derimot ikke et felles behandlingsansvar når flere behandlingsansvarlige hver for seg tar beslutninger knyttet til formål og midler, selv om virksomhetene behandler de samme personopplysningene.

    Hver enkelt behandlingsansvarlig må ha et behandlingsgrunnlag for å kunne behandle personopplysningene. De behandlingsansvarlige må sørge for en ordning som på en åpen måte fastsetter deres respektive ansvar for å overholde reglene i forordningen, samt de behandlingsansvarliges rolle og forhold til de registrerte. Personvernrådet (EDPB) har gitt ut retningslinjer om behandlingsansvarlige og databehandlere. Der presiseres det at begge de behandlingsansvarlige har et overordnet ansvar for behandlingen i helhet, selv om de har fordelt ansvar seg imellom i en ordning.

    EU-domstolen har uttalt at felles behandlingsansvar mellom to aktører ikke fører til at den ene aktøren også blir ansvarlig for forutgående eller etterfølgende behandling som den andre aktøren alene øver innflytelse på/har ansvaret for.

    EU-domstolens avgjørelse i C-210/16 Wirtschaftsakademie

    EU-domstolen kom i sin avgjørelse Wirtschaftsakademie til at en administrator av en side («fan page») på Facebook kan anses som en behandlingsansvarlig etter det daværende personverndirektivet, for innsamling av personopplysninger om personer som besøker siden.

    Avgjørelsen er relevant også etter dagens personvernforordning. Det er verdt å merke seg at Facebook og Wirtschaftsakademie hadde delvis ulike formål med innsamlingen. Domstolen sier at Facebook og administratoren ikke nødvendigvis har likt ansvar, selv om de har et felles ansvar, og at ansvaret avhenger av i hvilken grad de to aktørene er involvert i behandlingen (Dommens premiss 43: «[T]he existence of joint responsibility does not necessarily imply equal responsibility of the various operators involved in the processing of personal data.»)

    EU-domstolens avgjørelse C-40/17 Fashion ID

    EU-domstolen har i sin avgjørelse Fashion ID uttalt seg om felles behandlingsansvar. Avgjørelsen gjaldt fortolkningen av reglene i det daværende personverndirektivet, men vil i likhet med Wirtschaftsakademie-dommen være relevant i fortolkningen av dagens personvernforordning.

    Fashion ID handler om en nettbutikk som hadde gjort Facebooks «like»-knapp til en del av sin nettside. Gjennom «like»-knappen ble informasjon om besøkende på nettsiden samlet inn og delt med Facebook, også uten at de besøkende trykket på eller på annen måte interagerte med «like»-knappen.

    EU-domstolen uttalte i Fashion ID-avgjørelsen at nettbutikken og Facebook hadde felles behandlingsansvar for den behandlingsaktiviteten som besto i innsamling og utlevering til Facebook av opplysninger om besøkende på nettsiden («collection and disclosure by transmission»). Begrunnelsen for dette er det er at det er denne behandlingsaktiviteten som nettbutikken og Facebook i fellesskap beslutter formål og midler for. Facebook og Fashion ID hadde ulike formål med behandlingsaktiviteten, men den fant sted i deres felles økonomiske interesse.

    Domstolen fremhever videre at Facebook ikke ville fått tilgang til personopplysninger om de besøkende på nettsiden uten at nettbutikken hadde gjort «like»-knappen til en del av nettsiden. Nettbutikken utøver derved avgjørende innflytelse over innsamlingen av personopplysninger («exerts a decisive influence»).

    Domstolen uttaler også at de to aktørene har felles behandlingsansvar, også selv om nettbutikken ikke har tilgang til personopplysningene som samles inn. Også i Fashion ID påpekes at felles ansvar innebærer ikke nødvendigvis at ulike aktører har samme ansvar for samme behandling av personopplysninger. Tvert imot kan ulike aktører være ansvarlige for behandling av personopplysninger på ulike nivåer og i ulik grad (Fashion ID-dommen avsnitt 70).

    Beskrivelse av behandlingsaktiviteten(e) som Digdir og Meta får felles behandlingsansvar for

    Begge de to EU-dommene setter klare grenser for Digdirs felles behandlingsansvar. FashionID-dommen angir at ansvaret omfatter innsamling av personopplysninger som gjøres på siden og overføringen til Facebook. EU-domstolen sier også eksplisitt at Fashion ID ikke er behandlingsansvarlige for den etterfølgende behandlingen av personopplysningene, jf. dommens avsnitt 76:

    «By contrast, in the light of that information, it seems, at the outset, impossible that Fashion ID determines the purposes and means of subsequent operations involving the processing of personal data carried out by Facebook Ireland after their transmission to the latter, meaning that Fashion ID cannot be considered to be a controller in respect of those operations within the meaning of Article 2(d).»

    Wirtschaftsakademie-dommen angir at det felles behandlingsansvaret er avhengig av i hvilken grad de to aktørene er involvert i behandlingen. Vi tolker det som en beskrivelse av den samme ansvarsavgrensningen som i Fashion ID-dommen.

    I tillegg har Digdir felles behandlingsansvar for behandlingen av personopplysninger som gjøres for å generere aggregert statistikk for aktivitet på Digdirs Facebook-side.

    Digdir har ikke felles behandlingsansvar for behandling av personopplysninger ut over det som er beskrevet over. Dette følger også av avtalen om felles behandlingsansvar, som vi går inn på under.

    Metas avtale om felles behandlingsansvar

    Meta har laget en avtale om felles behandlingsansvar («joint controllership arrangement»), kalt Page Insights Addendum, som en del av Metas vilkår for bruk av Facebook. Denne avtalen omtaler kun felles behandlingsansvar for aggregering av statistikkdata for Facebook-siden, ikke det felles behandlingsansvaret som oppstår som følge av de to EU-dommene.

    Hva gjelder kravene til regulering av felles behandlingsansvar, kan vi overordnet si at det er uklart hvor strenge vilkårene er. Forordningen artikkel 26 angir at ansvar mv. skal fastsettes av de felles behandlingsansvarlige «ved hjelp av en ordning seg imellom». At det er en «ordning», og ikke f.eks. en avtale, tydeliggjør at det er en viss fleksibilitet her. Formålet med å utforme en slik ordning, er å sørge for at personvern ivaretas i komplekse behandlinger, ved at minst én av de behandlingsansvarlige følger opp kravene i GDPR (Christopher Millard og Dimitra Kamarinou, Article 26. I: Christopher Kuner, Lee A. Bygrave, Christopher Docksey, og Laura Drechsler, The EU General Data Protection Regulation (GDPR): A Commentary, 2020, s. 587. Se også Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, 2019, s. 385.)

    Gjennomgang av artikkel 26 nr. 1, 2 og 3

    Formål og interesser

    Metas formål er bredt, og er angitt i avtalen mellom brukeren og Meta. Vi tolker det som at deres formål også omfatter Digdirs formål, og at vi derfor ha felles formål innenfor det området vår vurdering omfatter. Vi oppfatter videre at det fremkommer ut fra innholdet som deles og hva sider vanligvis brukes til at det er opplysning og debatt som er formålet med siden.

    Midler

    Digdirs middel er kommunikasjon gjennom en side på Facebook. Artikkel 25 angir at behandlingsansvarlig plikter å benytte løsninger som har innebygget personvern og personvern som standardinnstilling. Vi anser at dette kravet er oppfylt på Facebook (se vedlegg 3).

    Ansvar, forpliktelser, informasjon og kontaktpunkt (jf. art 26 nr. 1)

    Artikkel 26 sier at ansvarsforhold skal fastsettes/avklares. Vi anser at dette er tilstrekkelig avklart, og at Digdir oppfyller artikkel 26(1) i GDPR.

    Det er noe uklart hvor strenge vilkår det er knyttet til fastsettelse av ansvar. Det er ikke på det rene hva som vil være konsekvensen hvis forholdet er mangelfullt regulert. Trolig vil det da være naturlig å forholde seg til de faktiske omstendigheter ( René Mahieu, Joris van Hoboken og Hadi Asghari, Responsibility for Data Protection in a Networked World: On the Question of the Controller, “Effective and Complete Protection” and its Application to Data Access Rights in Europe. I: JIPITEC nr. 1, 2019, s. 96).

    Mest sannsynlig må kravene i forordningen forstås som en regulering for å sikre praktisk arbeidsfordeling (Mahieu, van Hoboken og Hadi Asghari, 2019, s. 98). De ulike behandlingsansvarlige aktørene vil fremdeles være ansvarlige for å overholde sine plikter og følge opp registrerte personer.

    I Facebooks avtale heter videre at:

    «The joint controllership covers the creation of those events and their aggregation into Page Insights that are provided to Page admins. The Parties agree that for any other processing of personal data in connection with a Page and/or the content associated with it for which there is no joint determination of the purposes and means, Facebook Ireland and, as the case may be, you, remain separate and independent controllers.»

    Det må derfor foretas en konkret vurdering av når Digdir og Facebook er behandlingsansvarlige.

    Ordning (jf. art 26 nr. 2)

    Ordningen om felles behandlingsansvar er beskrevet i Page Insights Addendum. Denne er også tilgjengelig for den registrerte.

    Ordningen beskriver kun det felles behandlingsansvaret for aggregering av statistikkdata, ikke innsamling og overføring av data, jf. punktet over. Den beskriver imidlertid ansvarsfordelingen på en grundig måte.

    Vår vurdering er at vi likevel oppfyller artikkel 26(2), ettersom den registrerte selv kan ivareta sine rettigheter ved å bruke Facebooks verktøy.

    Det kan problematiseres hvor strengt kravet til en «ordning» er. Det er ikke noe eksplisitt krav til at ordningen må være skriftlig, men i det minste må nok en oppsummering være skriftlig og tilgjengelig (Christopher Millard og Dimitra Kamarinou, Article 26. I: Christopher Kuner, Lee A. Bygrave, Christopher Docksey, og Laura Drechsler, The EU General Data Protection Regulation (GDPR): A Commentary, 2020, s. 587). Først og fremst skal ordningen være praktisk innrettet, for å ivareta personvernet i forbindelse med behandlingen.

    Utøvelse av rettigheter hos den enkelte behandlingsansvarlige Ordning (jf. art 26 nr. 3)

    Den registrerte har gode muligheter til å utøve sine rettigheter med de ulike personvernverktøyene i Facebook. (Se vedlegg 3)

    Vår vurdering er at Digdir oppfyller kravene i artikkel 26(3).

    I den forbindelse nevnes at Facebooks standardavtale påpeker at forhold som ikke er uttrykkelig regulert vil påligge sideeier, dvs. direktoratet.

    Av den grunn oppfatter vi at direktoratet vil være ansvarlig for å følge opp rettigheter i forbindelse med ev. kommentarer og meldinger i Facebook-meldinger.

    For ordens skyld anbefaler vi likevel at det utformes en egen personvernerklæring, som kan lenkes til på siden. I den kan direktoratet informere tydelig at direktoratet følger opp henvendelser fra registrerte personer.

    Vedlegg 2 – Vurdering av personopplysningssikkerhet

    I denne beskrivelsen vurderer vi om behandlingens personopplysningssikkerhet/informasjonssikkerhet er tilstrekkelig ivaretatt i henhold til artikkel 32.

    Informasjonssikkerhetsrisiko er sammenhengen mellom følgende tre faktorer.

    1. Verdivurdering, dvs. klassifisering av informasjon/personopplysninger (verdi)
    2. Trusselvurdering – trusler og trusselaktører som kan true våre verdier
    3. Sårbarhetsvurdering – hvor sårbare er vi, og hvor er våre sårbarheter, gitt våre verdier og trusler mot våre verdier

    Verdivurdering

    Personvernregelverket definerer personopplysninger som en verdi. Ved å kommunisere gjennom en side på Facebook bidrar Digdir til å samle inn flere personopplysninger. Det inkluderer dialogen med brukere i kommentarfelt og meldingstjenester, informasjon om brukerens handlinger på siden og ulike andre for metadata.

    Vi vurderer dialogen med brukere i kommentarfeltet til å ha lav verdi, siden denne informasjonen i utgangspunktet er tenkt å være åpent tilgjengelig. Det samme gjelder informasjon om brukerens handlinger på siden, som klikk på Like-knapper. Dette gjelder i lys av kravene til både konfidensialitet, integritet og tilgjengelighet.

    Digdir har innstilt sin side på en måte som medfører at brukere ikke kan kontakte direktoratet gjennom direktemeldinger. Vi vil derfor ikke gå inn på verdien av informasjon knyttet til slik kommunikasjon

    Øvrige metadata som samles inn, vurderer vi til å ha lav verdi.

    Kort om akseptkriterier

    Risikonivået direktoratet kan akseptere, betegnes som «akseptkriterier». Dette vurderes normalt opp mot prinsippene for informasjonssikkerhet, som beskrives under (Bergsjø & Windvik, 2018, s. 25-26):

    • Konfidensialitet (informasjon skal ikke tilflyte uvedkommende på uautorisert vis)
    • Integritet (informasjon skal være nøyaktig og skal ikke kunne endres uten tillatelse)
    • Tilgjengelighet (tjenester skal være stabile slik at informasjon er tilgjengelig ved behov)

    I forbindelse med beslutningen om akseptkriterier, er det vanlig å konkretisere disse. Eksempelvis kan et kriterium være at det aksepteres manglende tilgjengelighet i maksimalt to timer. Vi merker oss imidlertid at Datatilsynet ikke har oppstilt klare tallfestede eller uttrykkelige krav til angivelse av disse i sin vurdering. Vi vil derfor ikke «kvantifisere» disse – også fordi kravene til konfidensialitet og tilgjengelighet må anses å være lave her. Vi vil imidlertid kommentere dette mer spesifikt under i forbindelse med trusselvurderingen.

    Trusselvurdering

    I trusselvurderingen ser vi på hvilke trusler og trusselaktører som potensielt, bevisst eller ubevisst, kan skade våre verdier, det vil si personopplysningene identifisert i verdivurderingen over.

    Vår erfaring er at dette ikke er et problem av betydning, men vi har likevel vurdert potensielle hendelser.

    Trusselaktør

    Intensjon

    Trussel

    Nettroll

    Intensjon om å provosere, distrahere, skape splid og undergrave

    Publisering av kritikk og spam/irrelevant innhold på Digdirs side.

    Ansatte/interne brukere

    Neppe ondsinnet holdning, men kan ved uaktsomhet skrive uheldig innhold eller fjerne/korrigere personopplysninger.

    Fjerning av innhold. Spredning av personopplysninger. Bryte med personopplysningers integritet gjennom endringer

    Brukere uten tilstrekkelig kompetanse

    Kan ha til hensikt å kritisere andre, men kan også være mentalt ustabile e.l. og dermed komme med lite gjennomtenkte påstander.

    Kan blamere seg selv eller komme med uheldige kommentarer overfor andre personer (ukorrekt informasjon mv.).

    Aktivister

    Intensjon om å provosere, distrahere, skape splid og undergrave direktoratets rolle. Kan også ha ønske om å påvirke eller ødelegge/fjerne innhold.

    Publisering av kritikk og spam/irrelevant innhold på Digdirs side. Kanskje også fremsette uriktig informasjon om personer, eller prøve å få fjernet materiale.

    Nærmere vurdering av truslene

    • Nettroll

    Selv om nettroll kan forsøke å lage «støy», vil de sjeldent utgjøre en trussel mot personvern og øvrige individuelle rettigheter. Nettroll har heller ikke vært noe problem i praksis, og det er begrenset hva slags problem de vil utgjøre for Digdir og Facebook-sidens brukere. Videre vil Digdir ha rutiner og årvåkne ansatte som vil kunne følge med på og ta vekk forsøk på «trolling». Vi mener derfor at risikoen er lav.

    • Ansatte/interne brukere

    Konsekvensen synes å være relativt beskjeden ved at brukere deler informasjon uberettiget eller formidler informasjon på «feil sted». Det er ikke lett å se for seg at dette vil skje i praksis, og vi antar ansatte/interne brukere normalt ikke er i en situasjon der informasjon vil kunne feilformidles. Vi kjenner heller ikke til tilfeller der innhold fjernes eller korrigeres uberettiget. Ansatte/interne er også godt opplærte og rutinerte, og det må anses som lite sannsynlig at de vil gjøre slike feil.

    For ordens skyld nevnes at Digdir har deaktivert muligheten for direktemeldinger fra brukerne, og vil derfor ikke gå inn på risiko knyttet til dette.

    Oppsummert synes risikoen lav på dette punkt.

    • Brukere uten tilstrekkelig kompetanse

    Erfaringsmessig har ikke Digdir sett at slike brukere utgjør et problem eller at det er fremsatt beskyldninger (eller andre uakseptable ytringer). Brukerne har heller ikke utlevert sensitiv informasjon om seg selv. Vi antar at ev. uakseptabelt innhold vil bli meldt inn til Facebook, fjernet av brukeren selv eller tatt bort av Digdir. Basert på at dette ikke har vært noe problem i praksis, og trolig heller ikke vil oppstå i praksis, anses risikoen for å være veldig lav.

    • Aktivister o.l.

    Aktivister kan utlevere informasjon eller lage problemer på lik linje med nettroll og mindre kompetente brukere o.l., selv om motivasjonen er forskjellig. Vi antar det er begrenset hva slags skadevirkning disse kan påføre Digdir og brukere/registrerte personer, ettersom Digdirs digitale flater på Facebook er uegnet til aksjoner osv. Digdir er heller ikke i befatning med materiale eller informasjon som skaper en stor ulempe eller negativ konsekvens, sett opp hva aktivister typisk vil ta tak i. Vi kan ikke se hva ved Digdirs virksomhet, eller tidligere aktivitet, som tilsier at problemet vil være nevneverdig stort. Også her er det lav risiko.

    Sårbarhetsvurdering, sårbarhetsreduserende tiltak og restrisiko

    En sårbarhetsvurdering er nødvendig for å identifisere hva slags risikoreduserende tiltak som er nødvendig. Gitt våre verdier og de identifiserte truslene/trusselaktørene: hvor sårbare er Digdir, og hvor er våre sårbarheter, overfor disse angrepsvektorene?

    Sårbarhetene i tabellen under vil stort sett reflektere over de sårbarhetene som Digdir vil ha mulighet til å gjøre noe med. Videre viser tabellen risiko etter implementering av sårbarhetsreduserende tiltak.

    Digdir opererer med følgende fire risikonivåer: LAV, MODERAT, HØY og SVÆRT HØY.

    Sårbarhet

    Risikonivå

    Tiltak

    Restrisiko

    Vi er prisgitt databehandlingsbetingelsene og informasjonssikkerheten til Meta

    LAV

    Ingen

    LAV

    Fritekst i innlegg og kommentarer

    MODERAT

    Aktiv moderering

    LAV

    Fritekst i meldinger

    MODERAT

    Aktiv moderering

    LAV

    Vedlegg 3 – Beskrivelse av Facebooks personvernverktøy

    Facebook har en rekke verktøy som gir brukerne innsikt i og kontroll over sine personopplysninger. Disse verktøyene er en viktig del av vurderingen, siden de er avgjørende for å sikre at brukerens friheter og rettigheter er i varetatt.

    Facebooks personvernverktøy er i konstant utvikling, og har blitt betydelig bedre de siste 2-3 årene. Her presenterer vi de viktigste verktøyene, slik de fremstår for brukerne i skrivende stund (desember 2021).

    Alle verktøyene er lett tilgjengelig for brukeren gjennom menyen øverst til høyre i Facebook.

    Personvernsjekk

    Facebooks personvernsjekk er en samling hjelpefunksjoner som leder brukeren gjennom de viktigste personverninnstillingene. Det gjør at brukeren slipper å lete seg frem til hver enkelt innstilling og forklaring. Personvernsjekken er delt inn i ulike kategorier som tar for seg ulike deler av personvernet:

    • Hvem kan se det du deler
    • Sli sikrer du kontoen din
    • Slik kan folk finne deg på Facebook
    • Datainnstillingene dine på Facebook
    • Annonsepreferansene dine på Facebook

    Facebooks personvernsjekk er tilgjengelig gjennom menyen på Facebook-profilen til bruker eller denne lenken:
    https://www.facebook.com/privacy/checkup/

    Snarveier for personvern

    Snarveier for personvern er en side som samler de ulike personverninnstillingene og -verktøyene etter kategori. Her er for eksempel alle innstillinger, informasjon om annonseprofiler og aktuelle hjelpetekster samlet under kategorien «Annonsepreferanser».

    Snarveier for personvern er tilgjengelig gjennom menyen på Facebook-profilen til bruker eller denne lenken:
    https://www.facebook.com/privacy

    Aktivitetsloggen

    Alle aktiviteter brukeren gjør på Facebook registreres i aktivitetsloggen. Alle innlegg, kommentarer, likes, søk, videovisninger og så videre er registrert i aktivitetsloggen.

    I aktivitetsloggen kan brukeren se aktivitetene sine kronologisk, fra dag til dag, eller etter kategorisert etter aktivitetstype.

    Aktivitetsloggen viser også hvem som har tilgang til å se informasjonen knyttet til aktiviteten.

    Brukeren kan velge å slette aktiviteter fra aktivitetsloggen. Aktiviteter som slettes vil heller ikke brukes av algoritmene som velger hvilke poster og annonser brukeren får se.

    Aktivitetsloggen er tilgjengelig gjennom menyen eller denne lenken:
    https://www.facebook.com/ditt.brukernavn/allactivity

    Personverninnstillinger

    Personverninnstillingene er hovedsiden for innstillinger knyttet til personvern. Disse innstillingene er i stor grad de samme som også er tilgjengelig gjennom Personvernsjekk og Snarveier for personvern. Det kan imidlertid forekomme at lite brukte innstillinger kun er tilgjengelig gjennom Personverninnstillinger.

    Personverninnstillingene er tilgjengelige gjennom menyen eller denne lenken:
    https://www.facebook.com/settings?tab=privacy

    Annonsepreferanser

    Facebooks annonsepreferanser gir brukeren informasjon og kontroll over sin annonseprofil og annonsører som har brukt profilen til å målrette annonser.

    I listen over annonsører kan brukeren se hvilke annonsører som har vist annonser til brukeren nylig, hvilke annonsører brukeren eventuelt har skjult og hvilke annonser brukeren har klikket på.

    Brukeren kan også velge å skjule annonsører fra listen. Da vil annonsøren ikke kunne vise sine annonser til denne brukeren.

    Under kategorien emner kan brukeren velge om hun vil se færre annonser om sensitive temaer som alkohol og politikk.

    Under innstillinger på annonsepreferanser kan brukeren se og endre på innstillingene og opplysningene som brukes for å målrette annonser. Hun kan se hvilke interessekategorier som brukes og hvilke annonsører som har målrettet annonser mot henne både på og utenfor Facebook.

    I tillegg til å se informasjonen kan brukeren også slette eller endre informasjonen.

    Annonsepreferansene er tilgjengelige gjennom menyen eller denne lenken:
    https://www.facebook.com/adpreferences/advertisers

    Aktiviteter utenfor Facebook

    Under Aktivitet utenfor Facebook får brukeren oversikt over hvilke aktører som har samlet informasjon om aktiviteter på deres nettsider og sendt dette til Facebook. Det er også en oversikt over hvilken informasjon som er sendt.

    Brukeren kan slette informasjon eller blokkere enkeltaktører fra å kunne samle og sende informasjon til Facebook.

    Aktiviteter utenfor Facebook er tilgjengelig gjennom menyen eller denne lenken:
    https://www.facebook.com/off_facebook_activity/

    Hvorfor ser jeg dette innlegget?

    På Facebooks mobilapp har brukeren en liten menyknapp øverst i høyre hjørne på hvert enkelt innlegg og annonse. På denne menyen er det et valg som heter «Hvorfor ser jeg dette innlegget?».

    Under dette menyvalget viser Facebook hvilke signaler algoritmen har brukt for å velge ut at akkurat det innlegget eller akkurat den annonsen ble plassert i brukerens nyhetsstrøm.

    Ved å klikke på et av signalene kan brukeren se hvorfor algoritmen har vektlagt det aktuelle signalet for denne brukeren.

    På menyen har brukeren også ulike valg for å påvirke hvordan algoritmen velger ut poster og annonser, for eksempel ved å skjule innhold fra enkelte aktører eller se mindre av enkelte typer innhold.

    «Hvorfor ser jeg dette innlegget?» er tilgjengelig gjennom menyen øverst til høyre på hvert innlegg i Facebooks mobilapper.

    Hjelp og støtte

    På Facebooks hjelpesenter er det en egen side for hjelp knyttet til personvern og sikkerhet. Her er artiklene plassert i kategorier etter ulike temaer.

    Hjelpesiden for personvern er tilgjengelig gjennom menyen eller denne lenken:
    https://www.facebook.com/help/238318146535333/

    Kontakt

    Linda Meskestad

    Seniorrådgiver, Digitaliseringsdirektoratet
    Telefon: 99798028

    Onar Aanestad

    Informasjonssjef, Digitaliseringsdirektoratet
    Telefon: +47 92 42 66 31