De nye personvernreglene endrer og skjerper pliktene til håndtering av personopplysninger i offentlig sektor. Forrige uke deltok Datatilsynet på NOKIOS, Norsk konferanse for IKT i offentlig sektor. Vi holdt kurs, stod på stand og holdt ulike innlegg. Vårt inntrykk var at de vi traff enten var veldig begeistrede, eller svært negative til de nye personvernregelverket.

La meg bare slå fast først som sist: Datatilsynet er for digitalisering. Vi heier på utveksling og gjenbruk av data. Vi har også stor tro på at ny teknologi vil bedre arbeidsprosesser eller innbygger-, kunde-, pasient-  eller brukeropplevelser. Så lenge det gjøres innenfor rammen av lovverket og med respekt for personvernet.

Hvorfor er personvern viktig i offentlig sektor?

Kommunal- og moderniseringsminister Jan Tore Sanner understreket i konferansens åpningsinnlegg at personvern, informasjonssikkerhet og klarspråk må være på plass for at det offentlige skal lykkes med digitaliseringen. Klarspråk i dialogen med innbyggerne gjør at den enkelte forstår hva som samles inn, deles og hvorfor. Informasjonssikkerhet bidrar til å sikre opplysninger, systemer og annet mot for eksempel innbrudd, utilsiktet deling eller tilgang til opplysninger. Godt personvern handler blant annet om at den den enkelte skal ha kontroll og oversikt over egne opplysninger. Du skal vite hvem som vet hva om deg, om opplysningene er korrekte, hvor og hvorfor skal de brukes?

Det offentlige er storforbruker at personopplysninger. I Norge har vi blant annet mange store, omfattende offentlige registre. Mange av opplysningene i de ulike registrene er like. Det betyr både at mange av oss som bor i Norge må oppgi de samme opplysningene til ulike statlige og kommunale instanser. I og med at så mange statlige aktører har behov for de samme opplysningene, er det både et ønske og et opplevd behov om å kunne gjenbruke data. Ved å samarbeide på tvers av etater og sektorer, kan staten begrense hvor mange ganger den enkelte av oss må oppgi våre opplysninger til staten eller kommunen. Det gjør det også lettere for den enkelte å sørge for at opplysningene om en selv er korrekte. De kan kontrolleres ett sted og man kan gå til kilden for å korrigere feil opplysninger.

Siden mye av innsamlingen av personopplysninger i offentlig sektor ikke er basert på samtykke, er det ekstra viktig at de opplysningene gjelder (de registrerte) får god informasjon. Det er ikke frivillig å oppgi lønnsopplysninger og alle oppholdsadresser til Skatteetaten. Derfor er det viktig å få vite hvordan disse opplysningen eventuelt gjenbrukes, av hvem og til hva. Hvis du for eksempel oppdager en feil i lønnsopplysningene dine kan det gi utslag ikke bare i skatteberegningen, men i pensjonsutregning, barnebidrag eller kostander for skolefritidsordning eller barnehage.

Digitalisering og deling av data – hvorfor er Datatilsynet så opptatt av dette?

De fleste temaene på NOKIOS er knyttet til digitalisering og deling av data. Personopplysningene våre er både drivstoffet i og grunnlaget for, nesten all pågående teknologiutvikling og digitalisering. Stadig flere av våre daglige aktiviteter kvantifiseres, måles og registreres. Mennesker har blitt dataprodusenter. Personopplysninger er både blitt et betalingsmiddel og en sentral byggestein i utviklingen av nye tjenester. Mer omfattende bruk av personopplysninger kan bidra til å spare kostander og gi bedre tjenester og tilbud. Samtidig er det viktig å være klar over at misbruk eller feil i håndtering av disse dataene kan og vil, svekke tilliten til digitale tjenester.

Feil gir konsekvenser

«Det eneste som er sikkert er at ingenting er sikkert» er et noe forslitt uttrykk. Samtidig er det veldig sant. Er det en mulighet for at noe kan gå galt, vil det mest sannsynlig gå galt, enten en eller flere ganger. I hvert fall om dere ikke tar utfordringer, trusler og muligheter i ny teknologi på alvor. Om det hoppes bukk over det å ha oversikt, å gjøre en gjennomgang av lovkrav eller å vurdere konsekvenser av det dere gjør, både for virksomheten og de registrerte. Ja, da er det enda større sjanse for at noe vil gå galt.

Opplysninger som deles i feil kanaler eller på annen måte er på avveier, kan gi store konsekvenser. Først og fremst kan det få konsekvenser for den som opplysningene er knyttet til, når opplysninger er spredd, delt eller kompromittert på noen måte. I ytterste konsekvens kan de oppleve videresalg av sine opplysninger eller ID-tyveri.

Samtidig kan det få konsekvenser for den som har delt opplysningene med noen de ikke skulle. Konsekvenser i form av tapt tillit eller kostnader knyttet til å rydde opp i infrastruktur eller systemer. Og når skaden først er skjedd er det sjelden den kan rettes opp uten at den eller de berørte opplever tap av kontroll over egne opplysninger. Ofte er det først når noe sånt skjer med oss, at vi ser verdien av eget personvern.

Vil digitaliseringen endre tilliten til offentlig sektor?

I Norge har vi generelt høy tillit til offentlig sektor. Vi stoler på at det offentlige vil oss vel. Hvor mye denne tilliten egentlig tåler vet vi ikke. I Datatilsynet opplever vi at tilliten stadig settes på prøve. Min påstand er at hvert sikkerhetsbrudd, hver urettmessig deling av personopplysninger på nett eller mellom offentlige etater er med på å bryte ned vår nødvendige og veletablerte tillit til det offentlige. Innbyggerne deler sine gode og dårlige erfaringer med forvaltningen på nett, i lokalbutikken eller andre fora. Og lokal- eller nasjonalpresse slår gjerne opp saker der for eksempel en kommune har publisert ansattemapper på nett, elever har logget seg på lærerens bruker for å endre egne karakterer eller en lege har snoket i journalene til pasienter de ikke behandler. Det er med andre ord vanskelig for å komme unna et feiltrinn. Og det å bygge opp brutt tillit er kostbart. Ofte mer kostbart enn å legge inn personverninnstillinger som standard i et system eller sørge for gode rutiner for å dobbeltsjekke dokumenter som publiseres på nett.

Ta utgangspunkt i brukerens perspektiv

I åpningsinnlegget ble det presisert at brukerne skal være i sentrum for digitalisering. At de som jobber med å digitalisere offentlig sektor skal ta brukernes perspektiv. Det er et godt råd, for når tjenester skal skreddersys blir det fort et inngrep i personvernet til den enkelte.

De som virkelig klarer å ta brukerens perspektiv i kappløpet om digitalisering, vil lettere kunne ta hensyn til den enkeltes personvern og rett til å bestemme over egne personopplysninger. Da kan digitaliseringen også i mange tilfeller bidra til at den enkeltes rettigheter ivaretas. Et eksempel på dette er såkalte «privacy dashboards». De gir den enkelte av oss oversikt over hvilke opplysninger som er registrert, hva de brukes til og en mulighet til å trekke tilbake samtykker hvis dette er aktuelt. I mange tilfeller vil slike løsninger bidra til å ivareta personvern på bedre måter enn de blir i dag.

Regelverk som hindring eller nødvendig for å hindre løpsk digitalisering?

Vi opplever at noen ser på regelverk, slik som personopplysningsregelverket, som en bremsekloss for digitaliseringen. Det presenteres som et hinder for alle de gode tiltakene, ideene og mulighetene som ligger i ny teknologi og nye kanaler. Hvis tilnærmingen til ny teknologi er å starte med at alle muligheter som ligger i den skal benyttes, blir det teknologien som driver tilbudene som utvikles. Teknologiutviklingen vil da også bestemme hvordan personopplysninger behandles. Den tradisjonelle måten å arbeide på starter i motsatt ende. Start med å finne ut hvilke eller hvilket behov den enkelte bruker eller etat har. Deretter ser dere på hvordan ny teknologi kan svare på dette på en bedre måte enn dagens løsning. Og det er grunn til å stoppe opp og tenke litt over disse ulike tilnærmingene og konsekvensene av å velge den ene eller den andre.

Fordi om en teknologi er tilgjengelig og mulig å bruke, betyr det ikke at den automatisk må tas i bruk. Det bør ikke være et mål i seg selv å være først ute med å bruke en ny teknologi.

Sett dere heller inn i brukeren sted. Ville du syntes det var greit at kommunen din eller en offentlig etat du er i et avhengighetsforhold med, behandlet dine opplysninger slik du planlegger å gjøre? Om svaret er ja, lovens krav oppfylt og du har vurdert og redusert mulige konsekvenser, er du kanskje på sporet av en god digital nyvinning.