Innlegget stod på trykk i Kommunikasjon nr. 2 – 2018.

Personopplysninger er drivkraften i og mange ganger også en helt nødvendig komponent i digital kommunikasjon, sosiale nettverk, persontilpassende tjenester og kunstig intelligens. I tillegg samler, bruker og lagrer nesten alle duppeditter og dingser vi omgir oss med inn personopplysningene våre. De aller fleste kommunikatorer er flittige brukere av alle slike verktøy. Det betyr at hverdagen vår består både av å samle inn andres personopplysninger og å dele egne opplysninger med andre.

Hva betyr så dette for oss kommunikatører?

Det første vi må gjøre er å lage en fullstendig oversikt over hvilke opplysninger dere behandler. Å behandle personopplysninger inkluderer alt fra å samle inn, bruke, dele, lagre til å videreformidle dem. Alle personopplysninger skal behandles lovlig og rettferdig og ikke brukes til noe annet enn det de er samlet inn for. Når dere har fullstendig oversikt må dere gå gjennom og dokumentere om dere har lov til å samle dem inn, bruke og lagre dem (lovlighet), hvorfor dere samler dem (formål), om dere har behov for all informasjonen dere samler inn (dataminimalitet) og hvordan dere informerer de dere samler inn informasjon om (gjennomsiktighet). Dette handler i bunn og grunn mye om å bruke sunn fornuft og fortelle om hva du gjør. Still deg spørsmålet – ville jeg synes det var greit at noen samlet inn denne typen opplysninger om meg, hvorfor eller hvorfor ikke?

Samtykke

All behandling av personopplysninger krever et behandlingsgrunnlag. I mange tilfeller vil personopplysningene vi kommunikatører ønsker å samle inn, kreve et samtykke fra den som eier opplysningene. Dette gjelder for eksempel abonnement på nyhetsbrev eller medlemskap i en kundeklubb. Men dette er et krav som også gjelder i dag. Det som er nytt, er at det ikke holder å hente inn et generelt samtykke til å bruke innsamlede personopplysningene til hva dere vil. Ulik bruk, for eksempel i ulike kanaler trenger individuelle samtykker. I tillegg skal brukeren skjønne hva hun sier ja til, samtykket skal være frivillig og det skal være like lett å trekke tilbake som å gi. Gå gjennom hva dere bruker ulike opplysningene til og sørg for å be om samtykke til hver ulik bruk. Bruker du opplysninger til å sende nyhetsbrev, i en medlemsliste på nettsidene, å utvikle nye tjenester eller å sende brukertilpassede salgstilbud krever hver av disse et eget samtykke.

Klarspråk

Når dere henter inn et samtykke, skal det gjøres i et klart språk tilpasset målgruppenes forståelsesnivå. Det nye personvernregelverket er trolig det eneste som stiller krav til formidlingen av rettigheter og informasjon. All informasjonen om virksomhetens behandling av personopplysninger skal følge klarspråkkravene. Dette blir et stort løft for personvernet. Alle som melder seg på nyhetsbrevet deres, samtykker til forskningsprosjekter, blir medlem i kundeklubben eller laster ned appen skal nå forstå hvordan dere behandler personopplysningene deres og hvorfor. Klarspråkarbeidet gir kommunikasjonsavdelingen en nøkkelrolle i å hjelpe egen virksomhet å oppfylle kravene det nye regelverket. Vi anbefaler at dere samler all informasjon om virksomhetens behandling av personopplysninger i en personvernerklæring. Denne skal være lett tilgjengelig for eksempel på nettsidene deres.

Hvor behandler vi personopplysninger i kommunikasjonsavdelingen?

Hvor skal dere starte når dere skal lage en oversikt over kommunikasjonsavdelingens behandling av personopplysninger? Det avhenger selvsagt av hvem dere er og hva dere gjør. Her kommer likevel noen tips til hvor dere kan begynne og hvilke kontrollspørsmål dere kan starte med. Husk også å dokumentere dette arbeidet og særlig de vurderingene dere gjør. Det er hva vi i Datatilsynet vil spørre etter når vi kommer på kontroll.

Nettsider

De aller fleste av oss har nettsider som bruker analyseverktøy, men er dere bevisst på hvilke opplysninger dere samler inn? Trenger dere å samle inn alle disse? Hva bruker dere informasjonen til og formidler dette til brukeren av nettsidene?

Sosiale medier

Sosiale medier har mange funksjoner, men de er ubrukelige hvis vi ikke deler noe. Har dere et bevisst forhold til kontoinnstillingene? Det er ofte muligheter for å begrense det andre deler på deres konto, for eksempel ved å ikke ha en «åpen vegg». Husk at dere ansvarlig for personopplysninger som deles der. Kjenner dere og er dere bevisste på reglene for deling av bilder og andre personopplysninger? Vær også klar over krav og rettigheter knyttet til profilering.

Kontaktlister

Dette er noe vi alle har mange av og som for de fleste av oss er viktige for å kunne gjøre en god jobb. Har dere et bevisst forhold til hvorfor har dere akkurat disse opplysningene? Kunne dere klart dere med færre opplysninger? Alle lister krever et behandlingsgrunnlag. Selv om mange av listene i kommunikasjonsavdelingen krever samtykke, vil for eksempel medie- eller presselister kunne behandles ut fra en interesseavveining og derfor ikke kreve samtykke.

Husk at godt personvern skaper tillit!

Fire råd for å komme i gang med arbeidet med nye personvernregler i kommunikasjonsavdelingen:

1. Skaff dere oversikt over hvor dere behandler personopplysninger
2. Gå gjennom disse og se om behandlingen er lovlig og rettferdig
3. Dokumenter alle vurderinger og valg dere har gjort.
4. Bruk sunn fornuft. Ville du ha syntes det var greit om det var dine opplysninger som ble behandlet på denne måte? Og husk at behandling av personopplysninger er et ledelsesansvar.

I 2012 arrangerte vi et frokostseminar om innebygd personvern. Da kom det 70–80 personer, og vi var kjempefornøyde. Da vi i høst lanserte vår veileder «Programvareutvikling med innebygd personvern» var det med nesten 700 deltagere i salen og omlag 2000 tilhørere på strømming.

Interessen for innebygd personvern har regelrett eksplodert. Det er ikke så rart. Det er nemlig et av de nye kravene norske virksomheter må følge, når vi i mai 2018 får nye personvernregler. Da erstattes dagens personopplysningslov med en ny personopplysningslov som gjennomfører EUs personvernforordning; General Data Protection Regulation (forkortet GDPR) i norsk rett. Dette kan du lese mer om på Datatilsynet.no

Hva er egentlig innebygd personvern?

Først og fremst må jeg understreke at dette ikke er noe nytt. Innebygd personvern er et prinsipp som ble utviklet i Canada på midten av 1990-tallet. Kort og godt handler det om å sikre at informasjonssystemene vi bruker oppfyller personvernprinsippene og ivaretar de registrertes rettigheter. Å ta hensyn til personvern i alle utviklingsfaser, bidrar til å sikre personvernet til de som eier opplysningene som registreres. Alt som utvikles, fra tjenester til programvare og fra apper til saksbehandlingssystemer, skal på denne måte bli og være personvernvennlige. Dette gir det beste utgangspunktet for å ivareta den registrertes personvern. Vi i Datatilsynet har derfor snakket varmt om, og anbefalt å bruke innebygd personvern i mange år.

Grunnleggende prinsipper og rettigheter

Personvernprinsippene handler om at personopplysninger skal behandles lovlig, rettferdig og gjennomsiktig. De skal kun brukes til det de var samles inn for (formålsbegrensning), det skal ikke samles inn flere opplysninger enn det som er nødvendig (dataminimering), opplysningene skal være riktige og de skal ikke lagres lengre enn nødvendig. Opplysningene skal være tilgjengelige for de som trenger dem, men ikke andre. Informasjonssikkerhet er også en viktig del av innebygd personvern. Samtidig er det helt essensielt å ha oversikt over hvilke personopplysninger dere behandler for å kunne vite at dere oppfyller prinsippene.

I tillegg har det nye regelverket hele 10 artikler som omfatter de registrertes rettigheter som det er helt vesentlig at alle som utvikler løsninger, system, apper og lignende forstår.

Og bare så det er nevnt. En personopplysning er en opplysning knyttet til en enkeltperson, for eksempel, et navn, en adresse, et bilde, et bilnummer, en IP-adresse eller et biometrisk kjennetegn som iris, fingeravtrykk eller ansikt.

Hvordan lage en nyttig veileder om innebygd personvern?

Kravet til å bruke innebygd personvern gjelder altså alle som samler inn, lagrer, bruker, forvalter, tester eller på annen måte bruker personopplysninger.

Da vi i høst utarbeidet veilederen «Programvareutvikling med innebygd personvern» gjorde vi tre hovedgrep for å gjøre veilederen best mulig for dere som skal bruke den;

Vi tok utgangspunkt i eksisterende rammeverk for utvikling, istedenfor å lage noe nytt som alle må følge i tillegg til alt annet. Da blir terskelen for å få dette på plass lavere enn om alle prosjektledere, utviklere, arkitekter og andre må lære seg enda et system eller planleggingssyklus. Vi har tatt utgangspunkt i Software Development LifeCycle (SDLC) og Microsoft Security Development Lifecycle (SDL). For hver aktivitet har vi sett på hvordan prinsipper, rettigheter og krav i personvernregelverket kan og bør inkluderes. Vi laget også praktiske sjekklister for hver av aktivitetene.

Vi er svært opptatt av at det vi veileder om er nyttig for de som skal bruke det. For å svare best mulig på de spørsmålene og utfordringer dere møter i hverdagen, inviterte vi syv sikkerhetseksperter og programutviklere inn i arbeidet. Vi hadde tre arbeidsmøter hvor vi diskuterte oss gjennom problemstillinger, muligheter og utfordringer før vi satte oss ned og skrev. Da veilederen var ferdig, ble den sendt på høring til arbeidsgruppa. Da endelig utkast forelå ba vi om tilbakemeldinger fra en utvidet gruppe med fagfolk. Vi er åpne for innspill og vil endre eller oppdatere veilederen fortløpende når vi mener det er behov for det.
Veilederen er dynamisk. Selv om vi har jobbet med og anbefalt innbygd personvern i mange år, er kravet nytt. Det betyr at vi vil følge opp kravet i våre kontroller. Innebygd personvern er din og min mulighet til å ivareta vårt personvern i dagens og morgendagens robotikk, bigdata, automatiserte avgjørelser, kunstig intelligens og så videre. Derfor er det viktig at veilederen oppdateres faglig i takt med utviklingen.

Syv aktiviteter for å sikre innebygd personvern

Veilederen beskriver syv aktiviteter; opplæring, krav, design, koding, test, produksjonssetting og forvaltning. Vi har laget en modell for å illustrere aktivitetene. Modellen er sirkelformet for å vise at både programvareutvikling og arbeidet med personvern er kontinuerlige prosesser.

For hver av aktivitetene har vi beskrevet hvordan personvern kan, bør og skal ivaretas. Vi har også laget sjekklister for hver aktivitet. Disse er tekniske og ment som hjelp for den eller de enkelte som utfører aktiviteten.

Det er opp til den enkelte virksomhet å vurdere hvilken metodikk som skal brukes, hvilke tiltak, områder og aktiviteter som skal vektlegges og hvor innsatsen skal økes. Valg av metodikk vil typisk påvirkes av tjenesteområde, virksomhet, type programvare som skal utvikles, og betraktninger rundt og oppfattelse av egen risiko.

Kort oppsummering av aktivitetene

1. Opplæring. Denne aktiviteten sier noe om hva det er viktigst å gi opplæring i, hvordan det kan løses og hvilke verktøy som kan benyttes.
2. Krav beskriver hvilke krav som stilles til personvern og sikkerhet, virksomhetens definisjon av toleransenivå for personvern og sikkerhet, og vurdering av sikkerhetsrisiko og vurdering av personvernkonsekvenser.
3. Den neste aktiviteten er design. Aktiviteten deles inn i dataorienterte og prosessorienterte designkrav. I denne aktiviteten er det også viktig at virksomheten gjennomfører en analyse av angrepsflaten og en trusselmodellering.
4. Aktiviteten koding understreker hvor viktig det er at utviklere bruker godkjente verktøy og rammer, at utrygge funksjoner og moduler ugyldiggjøres, og at statisk kodeanalyse og kodegjennomgang gjennomføres regelmessig.
5. Test innebærer å teste om personvernkrav og sikkerhetskrav er implementert og at de er riktig implementert, gjennomføring av ulike tester og ny gjennomgang av trusselmodellering og angrepsflate for å sikre at identifiserte trusler og sårbarheter er håndtert og at nye ikke er introdusert.
6. Før produksjonssetting lages en plan for hendelseshåndtering og en full sikkerhetsgjennomgang av programvaren. Deretter godkjennes produksjonssetting og all relevant data fra hele utviklingsløpet arkiveres.
7. Den siste aktiviteten tar for seg forvaltning og drift av programvaren. Virksomheten bør være forberedt på å håndtere hendelser, avvik og angrep, og i stand til å gi ut oppdateringer, veiledning og informasjon til berørte, brukere og ulike instanser.

Les veilederen «Programvareutvikling med innebygd personvern».

Konkurranse

For å bidra til å øke bevisstheten om innebygd personvern og vise hvordan det kan brukes i praksis, utlyste vi i slutten av august en konkurranse. Vi inviterte alle som har en løsning, programvare, system eller noe annet utviklet med innbygd personvern til å sende dette inn til oss innen 1. desember. Konkurransen er inspirert av en lignende konkurranse som Datatilsynet i Katalonia arrangerer årlig.

Vi mottok 21 bidrag. Disse vurderes for tiden av en svært entusiastisk jury. Den 5. mars vil vi lansere vinneren i et arrangement på Nasjonalbiblioteket. Vi vil også lansere en ny konkurranse for å gi enda flere sjansen til å vise hva og hvordan dette kan gjøres. Vi håper og tror vinnerne og de andre bidragene i konkurransen vil være både til inspirasjon og hjelp for andre utviklere. Les mer om konkurransen.

La meg bare slå fast først som sist: Datatilsynet er for digitalisering. Vi heier på utveksling og gjenbruk av data. Vi har også stor tro på at ny teknologi vil bedre arbeidsprosesser eller innbygger-, kunde-, pasient-  eller brukeropplevelser. Så lenge det gjøres innenfor rammen av lovverket og med respekt for personvernet.

Hvorfor er personvern viktig i offentlig sektor?

Kommunal- og moderniseringsminister Jan Tore Sanner understreket i konferansens åpningsinnlegg at personvern, informasjonssikkerhet og klarspråk må være på plass for at det offentlige skal lykkes med digitaliseringen. Klarspråk i dialogen med innbyggerne gjør at den enkelte forstår hva som samles inn, deles og hvorfor. Informasjonssikkerhet bidrar til å sikre opplysninger, systemer og annet mot for eksempel innbrudd, utilsiktet deling eller tilgang til opplysninger. Godt personvern handler blant annet om at den den enkelte skal ha kontroll og oversikt over egne opplysninger. Du skal vite hvem som vet hva om deg, om opplysningene er korrekte, hvor og hvorfor skal de brukes?

Det offentlige er storforbruker at personopplysninger. I Norge har vi blant annet mange store, omfattende offentlige registre. Mange av opplysningene i de ulike registrene er like. Det betyr både at mange av oss som bor i Norge må oppgi de samme opplysningene til ulike statlige og kommunale instanser. I og med at så mange statlige aktører har behov for de samme opplysningene, er det både et ønske og et opplevd behov om å kunne gjenbruke data. Ved å samarbeide på tvers av etater og sektorer, kan staten begrense hvor mange ganger den enkelte av oss må oppgi våre opplysninger til staten eller kommunen. Det gjør det også lettere for den enkelte å sørge for at opplysningene om en selv er korrekte. De kan kontrolleres ett sted og man kan gå til kilden for å korrigere feil opplysninger.

Siden mye av innsamlingen av personopplysninger i offentlig sektor ikke er basert på samtykke, er det ekstra viktig at de opplysningene gjelder (de registrerte) får god informasjon. Det er ikke frivillig å oppgi lønnsopplysninger og alle oppholdsadresser til Skatteetaten. Derfor er det viktig å få vite hvordan disse opplysningen eventuelt gjenbrukes, av hvem og til hva. Hvis du for eksempel oppdager en feil i lønnsopplysningene dine kan det gi utslag ikke bare i skatteberegningen, men i pensjonsutregning, barnebidrag eller kostander for skolefritidsordning eller barnehage.

Digitalisering og deling av data – hvorfor er Datatilsynet så opptatt av dette?

De fleste temaene på NOKIOS er knyttet til digitalisering og deling av data. Personopplysningene våre er både drivstoffet i og grunnlaget for, nesten all pågående teknologiutvikling og digitalisering. Stadig flere av våre daglige aktiviteter kvantifiseres, måles og registreres. Mennesker har blitt dataprodusenter. Personopplysninger er både blitt et betalingsmiddel og en sentral byggestein i utviklingen av nye tjenester. Mer omfattende bruk av personopplysninger kan bidra til å spare kostander og gi bedre tjenester og tilbud. Samtidig er det viktig å være klar over at misbruk eller feil i håndtering av disse dataene kan og vil, svekke tilliten til digitale tjenester.

Feil gir konsekvenser

«Det eneste som er sikkert er at ingenting er sikkert» er et noe forslitt uttrykk. Samtidig er det veldig sant. Er det en mulighet for at noe kan gå galt, vil det mest sannsynlig gå galt, enten en eller flere ganger. I hvert fall om dere ikke tar utfordringer, trusler og muligheter i ny teknologi på alvor. Om det hoppes bukk over det å ha oversikt, å gjøre en gjennomgang av lovkrav eller å vurdere konsekvenser av det dere gjør, både for virksomheten og de registrerte. Ja, da er det enda større sjanse for at noe vil gå galt.

Opplysninger som deles i feil kanaler eller på annen måte er på avveier, kan gi store konsekvenser. Først og fremst kan det få konsekvenser for den som opplysningene er knyttet til, når opplysninger er spredd, delt eller kompromittert på noen måte. I ytterste konsekvens kan de oppleve videresalg av sine opplysninger eller ID-tyveri.

Samtidig kan det få konsekvenser for den som har delt opplysningene med noen de ikke skulle. Konsekvenser i form av tapt tillit eller kostnader knyttet til å rydde opp i infrastruktur eller systemer. Og når skaden først er skjedd er det sjelden den kan rettes opp uten at den eller de berørte opplever tap av kontroll over egne opplysninger. Ofte er det først når noe sånt skjer med oss, at vi ser verdien av eget personvern.

Vil digitaliseringen endre tilliten til offentlig sektor?

I Norge har vi generelt høy tillit til offentlig sektor. Vi stoler på at det offentlige vil oss vel. Hvor mye denne tilliten egentlig tåler vet vi ikke. I Datatilsynet opplever vi at tilliten stadig settes på prøve. Min påstand er at hvert sikkerhetsbrudd, hver urettmessig deling av personopplysninger på nett eller mellom offentlige etater er med på å bryte ned vår nødvendige og veletablerte tillit til det offentlige. Innbyggerne deler sine gode og dårlige erfaringer med forvaltningen på nett, i lokalbutikken eller andre fora. Og lokal- eller nasjonalpresse slår gjerne opp saker der for eksempel en kommune har publisert ansattemapper på nett, elever har logget seg på lærerens bruker for å endre egne karakterer eller en lege har snoket i journalene til pasienter de ikke behandler. Det er med andre ord vanskelig for å komme unna et feiltrinn. Og det å bygge opp brutt tillit er kostbart. Ofte mer kostbart enn å legge inn personverninnstillinger som standard i et system eller sørge for gode rutiner for å dobbeltsjekke dokumenter som publiseres på nett.

Ta utgangspunkt i brukerens perspektiv

I åpningsinnlegget ble det presisert at brukerne skal være i sentrum for digitalisering. At de som jobber med å digitalisere offentlig sektor skal ta brukernes perspektiv. Det er et godt råd, for når tjenester skal skreddersys blir det fort et inngrep i personvernet til den enkelte.

De som virkelig klarer å ta brukerens perspektiv i kappløpet om digitalisering, vil lettere kunne ta hensyn til den enkeltes personvern og rett til å bestemme over egne personopplysninger. Da kan digitaliseringen også i mange tilfeller bidra til at den enkeltes rettigheter ivaretas. Et eksempel på dette er såkalte «privacy dashboards». De gir den enkelte av oss oversikt over hvilke opplysninger som er registrert, hva de brukes til og en mulighet til å trekke tilbake samtykker hvis dette er aktuelt. I mange tilfeller vil slike løsninger bidra til å ivareta personvern på bedre måter enn de blir i dag.

Regelverk som hindring eller nødvendig for å hindre løpsk digitalisering?

Vi opplever at noen ser på regelverk, slik som personopplysningsregelverket, som en bremsekloss for digitaliseringen. Det presenteres som et hinder for alle de gode tiltakene, ideene og mulighetene som ligger i ny teknologi og nye kanaler. Hvis tilnærmingen til ny teknologi er å starte med at alle muligheter som ligger i den skal benyttes, blir det teknologien som driver tilbudene som utvikles. Teknologiutviklingen vil da også bestemme hvordan personopplysninger behandles. Den tradisjonelle måten å arbeide på starter i motsatt ende. Start med å finne ut hvilke eller hvilket behov den enkelte bruker eller etat har. Deretter ser dere på hvordan ny teknologi kan svare på dette på en bedre måte enn dagens løsning. Og det er grunn til å stoppe opp og tenke litt over disse ulike tilnærmingene og konsekvensene av å velge den ene eller den andre.

Fordi om en teknologi er tilgjengelig og mulig å bruke, betyr det ikke at den automatisk må tas i bruk. Det bør ikke være et mål i seg selv å være først ute med å bruke en ny teknologi.

Sett dere heller inn i brukeren sted. Ville du syntes det var greit at kommunen din eller en offentlig etat du er i et avhengighetsforhold med, behandlet dine opplysninger slik du planlegger å gjøre? Om svaret er ja, lovens krav oppfylt og du har vurdert og redusert mulige konsekvenser, er du kanskje på sporet av en god digital nyvinning.

Vi opplever dessverre at mange oppfatter personvern og digitalisering som motsetninger.

Kurs i nye personvernregler
Alle som var på NOKIOS 2016 må forholde seg til det nye personvernregelverket fra 2018. Vi startet derfor konferansen med et kurs i det nye regelverket. Deltagerne fikk en oversikt over hvilke endringer som kommer og en særlig innføring i endringene som gjelder offentlig sektor. Kurset var svært populært, og vi fikk mange gode spørsmål. Vi håper og tror flere av deltagerne fikk nødvendig kunnskap til å starte arbeidet med nytt regelverk på egen arbeidsplass. Og ikke minst at de ble inspirert til å finne ut hva regelverket betyr for nettopp dem. Her kan du lese mer om hva som blir nytt fra 2018

Digitalisering og personvern er ikke motkrefter
På standen vår i utstillerområdet opplevde vi at det er stor interesse for personvern og det nye regelverket. Svært mange kom bort for en prat om personvern, et hjertesukk om hvor utfordrende det kan være å ivareta personvern, og innspill om hvor vanskelig det kan være å få ledelsen til å forstå at personvern er viktig. Mange av disse ser frem til nytt regelverk som vil gi noen strengere og tydeligere krav til behandling av personopplysninger, forhåndsvurderinger, og ikke minst at det offentlige blir pålagt å opprette personvernombud. Vi har delt ut brosjyrer og gode råd om nytt regelverk og hvordan en skal starte arbeidet med dette i egen organisasjon.

Samtidig opplevde vi at enkelte etter opplever personvern som en brems eller fartsdump på veien mot en digital forvaltning. Derfor var avdelingsdirektør Helge Veum i sitt foredrag om stordata eller big data i offentlig forvalting, svært tydelig på at personvern og digitalisering ikke er noe man må eller skal velge mellom. Det må være både og, ikke enten eller når det offentlige tar i bruk ny teknologi for å tilby innbyggerne nye og bedre tjenester.

Ny teknologi kan gi bedre personvern
Noen mener at det staten har samlet inn, automatisk kan gjenbrukes bruke på kryss og tvers. En slik unyansert felleseietankegang om personopplysninger synes vi ikke noe særlig om.

Vi er derimot positive til at offentlige aktører bruker ny teknologi for å utvikle nye og bedre tjenester for innbyggerne. I hvert fall så lenge de håndterer behov for gjenbruk av offentlige data på en god måte.

Slik vi ser det, kan ny teknologi i mange tilfeller føre til bedre personvern.

Slik vi ser det, kan ny teknologi i mange tilfeller også føre til bedre personvern. At et arkiv går fra å være analogt til digitalt, gjør det mulig å beskytte opplysningene i arkivet bedre måte. Tekniske løsninger kan styre hvem som har tilgang til opplysningene og hvem som har brukt dem. Nye løsninger vil også bidra til at aktører som trenger tilgang kan få det der de befinner seg istedenfor å måtte flytte seg dit opplysningene er.

Sørg for å involvere og respektere den opplysningene handler om
Nøkkelen til god digitalisering er å spille på lag med innbyggeren. Teknologiutviklingen gir oss mulighet for å samhandle med innbyggerne på en langt bedre måte enn tidligere. Bygg løsninger som gir god informasjon om hvilke opplysninger som samles inn, hvordan, hvorfor og hvor lenge de skal oppbevares. Bruk digitale løsninger til å be om samtykke og å la den som eier opplysningene administrere egne samtykker, både ved å gi og å trekke samtykkene tilbake. Det er ingen unnskyldning lengre at det er for vanskelig og dyrt å få tak opplysningenes eier for å informere dem eller be om samtykke. Et godt eksempel på en slik løsning er Altinns nye samtykkeløsning.

Nøkkelen til god digitalisering er å spille på lag med innbyggeren.

Godt personvern og god informasjonssikkerhet er en forutsetning for god digital forvaltning
Vi mener at digitalisering og teknologiutvikling gir forvaltningen spennende muligheter for fremtidsrettet og effektiv drift og samhandling. Samtidig er det avgjørende at de som skal lage de nye tjenestene er modne for det. Digitalisering handler etter vår mening ikke bare om å digitalisere tjenester, men at de digitaliserte tjenestene blir bedre enn den eller de tjenestene de erstatter. Det er en forutsetning at informasjonssikkerhet og personvern ivaretas i dette arbeidet fra starten av. Dette krever blant annet god personvernkompetanse.

Vi mener det offentlige har noe å gå på her. Blant annet ser vi gjennom våre kontroller at det offentlige har for dårlig kontroll på både informasjonssikkerhet og personvern.

Når informasjonssikkerhet og personvern er godt ivaretatt, ligger det til rette for å utnytte ny teknologi til å lage gode digitale tjenester til det beste for både innbyggerne og forvaltningen.

For å bidra til den pågående og nødvendige digitaliseringen i offentlig sektor har vi prioritert å ha dialog med de store aktørene som både fremmer og trenger samhandling, blant annet Brønnøysundregistrene, Nav, Difi, Skatt, bransje- og interesseorganisasjoner som IKT-Norge, KS og noen ganger også leverandørene av tjenester i offentlig sektor. Når informasjonssikkerhet og personvern er godt ivaretatt, ligger det til rette for å utnytte ny teknologi til å lage gode digitale tjenester til det beste for både innbyggerne og forvaltningen.

Temaet for årets konferanse var «Kunsten å forenkle». Noe av det som ofte fremheves som en forutsetning for at dette skal kunne skje er samhandling og deling av opplysninger. Dersom et sett personopplysninger uansett er samlet inn er det i mange sammenhenger en rekke andre som også ønsker både å dele og å bruke opplysningene. Dette er som hovedregel ikke greit fordi det går utover personvernet til den som eier opplysningene.

Innbyggeren skal ha kontroll på egne personopplysninger
I forholdet mellom innbygger og offentlig sektor er personvern en rettssikkerhetsgaranti. For at innbyggerne skal kunne motvirke maktmisbruk må den enkelte vite hvem som behandler hans eller hennes personopplysninger, til hva og hvorfor. Samtidig er det viktig at det er god kvalitet på opplysningene offentlig sektor behandler. Det vil si at de må være korrekte og oppdaterte. Mange offentlige aktører benytter personopplysninger til å fastslå hvilke plikter og rettigheter den enkelte har. At dette gjøres ut fra riktige og oppdaterte opplysninger er derfor svært viktig og noen ganger også avgjørende for at den som eier opplysningene skal få riktig behandling.

Les mer og last ned Datatilsynets digitaliseringsstrategi  – personvern i digitaliseringen av offentlig sektor

Hvis innbyggeren skal kunne sjekke og eventuelt rette feil i egne opplysninger, må den enkelte vite hvem som har og bruker hvilke opplysninger. Dette krever tydelige ansvarsforhold mellom offentlige og private instanser i tillegg til god informasjon til den enkelte innbygger.

Samhandling krever god informasjon til innbyggeren og tydelige ansvarsforhold
Samhandling er som nevnt et av de ordene som har vært nevnt i nesten alle innlegg på NOKIOS. Den teknologiske utviklingen gir stadig nye muligheter både til å utveksle og effektivisere behandlingen av personopplysninger og til å bedre kommunikasjonen mellom det offentlige og den enkelte innbygger. Dette er muligheter offentlig sektor naturlig nok er svært opptatt av å benytte og i mange tilfeller også bør benytte hvis det gir mer brukerne bedre og mer effektive tjenester.

Personvernutfordringen med dette er at det blir lett å samle inn mer informasjon enn det som er nødvendig for å oppnå behandlingsformålet og at opplysningene ikke brukes til noe annet enn det innbyggeren har fått informasjon om. Det er derfor svært viktig at offentlige aktører som deler eller mottar personopplysninger fra en eller flere andre aktører, er klar over at disse ikke kan brukes til andre formål enn de er samlet inn for. Denne typen samhandling krever også at ansvarsforhold er avklart, slik at de som er involvert ikke er i tvil om hvem som til enhver tid er ansvarlig for de innsamlede personopplysningene.

Synliggjøring av personvern på NOKIOS
I år valgte vi å stille både med en workshop om personvern i skole og barnehager, et innlegg om skytjenester og stand i messeområdet. Dette var både for å fortelle deltagerne at de må ta hensyn til personvern ved digitaliseringen av offentlig sektor og for å vise at vi er tilgjengelige som rådgivere for hvor hvordan innbyggerens personvern kan ivaretas på best mulig måte i dette arbeidet.

 Så godt som alle temaene det har blitt holdt innlegg om på NOKIOS, som velferdsteknologi, Big Data, digital postkasse, digital kompetanse, fellesløsninger og nettskytjenester har en side mot personvern.

På konferansens første dag holdt vi workshop om personvern i skole og barnehager. Deltagerne på workshopen var svært engasjerte representanter fra viktige aktører både på skole- og barnehageeiersiden, myndighetssiden, leverandører og konsulentfirma og andre viktige fagorganer. Stemningen var god og jeg er sikker på at alle gikk derfra med et, om mulig, enda større ønske om å bidra til å forbedre behandlingen av personopplysninger i denne sektoren. Forhåpentligvis hadde de også med seg flere ideer om hvordan dette kan arbeidet gjøres, og hvem de eller bør snakke med for å få dette til å skje.

Les mer og last ned Datatilsynets skolerapport

Torsdag ettermiddag holdt vår direktør Bjørn Erik Thon et innlegg om skytjenester; «bruk det, men bruk det riktig». Dette var, ikke overraskende, ettermiddagens mest populære sesjon. Vi har i løpet av konferansen erfart at dette er et tema så å si alle vi har snakket med er opptatt av. Hovedbudskapet i Bjørn Eriks innlegg var at skytjenester i utgangspunktet er sikre. For å være sikre på at det de skal lagre i skyen er tilstrekkelig sikret, er det opp til de eller dem som skal ta slike tjenester i bruk å gjøre gode risikovurderinger av sikkerheten ved tjenestene og å få på plass nødvendige avtaler med leverandørene av slike tjenester. Offentlige og private virksomheter som tar i bruk nettskytjenester kan ikke flytte ansvaret ut i skyen. Det er deres ansvar å forvisse seg om at sikkerheten i tjenesten er god nok for den typen opplysninger de skal lagre der.

Les Datatilsynets veileder for nettskytjenester

I tillegg til disse to viktige faglige bidragene har vi hatt stand i messeområdet. Dette har vært en fin erfaring. Vi har delt ut personvernblokker, handlenett og sukkertøy til alle som har vært innom for at de også skal huske på oss når de kommer hjem. Mange har sagt at det er flott og viktig at vi er synlige i slike settinger. Det har vært mange hyggelige samtaler på standen og vi har også fått alt fra helt konkrete spørsmål om personvern til generelle betraktninger om personverns rolle i samfunnet og eksempler på situasjoner der kan være utfordrende å finne riktig balanse mellom personvern og andre hensyn. Vi tar med oss alle gode innspill tilbake, og gleder oss til å treffe å både kjente og nye fjes på neste års NOKIOS konferanse.

Omfanget av konferansen har doblet seg hvert år fra oppstarten for fire år siden og i år deltok 120 kvinner. Ut fra kvaliteten på innleggene, stemningen i salen, i pausene og under måltidene mener vi at det er et behov for dette arrangementet. Faglige diskusjoner og nettverksbygging er alltid viktig på et fagområde som informasjonssikkerhet, uansett om det er kvinner eller menn som deltar.

Konferansens første dag handlet om trusler og hendelser, mens dag to handlet om å erkjenne risikoen man har kartlagt i risikovurderingen og hva man rent praktisk kan gjøre for å utvikle sikre programmer.

Hva er så de viktigste innspillene vi tar med oss fra Security Divas?

Våg å dele for å gjøre hverandre bedre
Virksomheter må bli flinkere til å se, ta tak i og løse sikkerhetsutfordringer på tvers av sektorer. Assisterende direktør Annette Tjaberg i Nasjonal sikkerhetsmyndighet (NSM) åpnet konferansen med et innlegg om trusler og kritiske sårbarheter.

Tjaberg påpekte at vi alle må bli flinkere til å se helheten i dagens ofte sammensatte trusler. Dersom vi fortsetter som nå, hvor de fleste er mest opptatt av å beskytte og vokte over vår egen lille tue eller håndheve «vår egen» lov, vil angriperne ha større sjanse til å lykkes enn om vi som representerer ulike virksomheter står sammen.

Dette betyr at vi må tørre å dele utfordringer og løsninger slik at vi sammen blir bedre, og finner helhetlige løsninger på utfordringer som er større enn oss selv.

Erkjenn og følg opp risikoene du har kartlagt i risikovurderingen din
Det er ikke nok å gjennomføre en risikovurdering, fastslå akseptabelt risikonivå og planlegge tiltak for å minske risikoen. Det betyr kun at vi vet at risikoen er der, ikke at vi erkjenner den. Det er først når vi setter iverk tiltakene vi har planlagt at vi viser at vi erkjenner risikoen vi kom frem til i vurderingen vår. For at en virksomhet skal være i stand til å iverksette tiltak er den avhengig av klare ansvarslinjer.

Det beste eksemplet på dette kom i statssekretær Laila Bokharis foredrag om erfaringer fra 22. juli- kommisjonen. Allerede mange år før 22. juli 2011, var det gjort risikovurderinger som fremhevet høyblokka som utsatt og det var lagt planer for å sikre den. Noen tiltak var gjennomført, men flere av dem gjenstod uten konkrete planer for når de skulle gjennomføres. Ansvaret for gjennomføringen og utsettelsen av disse ble pulverisert og ingen tok ansvar for å gjennomføre dem.

Virksomheter som gjør risikovurderinger må også avklare ansvarsforhold og gjennom å iverksette tiltak erkjenne at de tar risikoene på alvor.

Lag sikre systemer ved å tenke som en angriper
For å kunne forsøke å avverge angrep på virksomheten din, må du tenke som en angriper.

Lillian Røstad, seksjonsleder i Direktoratet for forvaltning og IKT (Difi) og førsteamanuensis II på NTNU, lanserte begrepet ”innebygd sikkerhet”. Dette innebærer å  bygge opp programmene dine på en slik måte at de kan motstå alle tenkelige og utenkelige angrep du ser for deg. Før noe lanseres må du vurdere konsekvensene av tenkte angrep på systemet, og sikre at du tester, forbedrer, tester og forbedrer så lenge som nødvendig før du lanserer. Etter lansering må du fortsette å sikre programmet og kontinuerlig jobbe med å forbede og å forutse tenkte angrep.

Vi liker begrepet og tankegangen, og kan trekke paralleller til begrepet om innebygd personvern, som vi i Datatilsynet jobber for å spre videre.

Etter et par dager som divaer har vi rukket å komme ned på jorda, men vi gleder oss allerede til neste års konferanse.

Kanskje vi da kan få høre fra noen som har tatt initiativ til å dele for å gjøre seg selv og andre bedre?
Eller fra noen som har hatt en tung eller vanskelig prosess for å få sin virksomhet til å erkjenne sine risikoer?

Først og fremst bør du holde holdet kaldt. Selv om opplysningene dine er på avveier, er det ikke sikkert noen vil misbruke dem. Det viktigste du kan gjøre er å begrense andres mulighet til å misbruke opplysningene. Her er våre råd om hvordan du kan gjøre det:

1. Sperr kortet.
Om du sperrer kortet med en gang, begrenser du muligheten for at noen kan bestille varer eller tjenester i ditt navn.

2. Bytt passord på kontoer som er knyttet til kortet.
Hvis du bruker det samme passordet flere steder, må du bytte passordet ut disse passordene til nye. Hvis noen får tilgang til et passord du bruker på flere kontoer eller tjenester, kan de få tilgang til alle disse. Vi vet at det kan være vanskelig å huske mange ulike passord. Derfor anbefaler vi at du lager et passordsystem.

3. Følg med på bruken av kortene dine.
Hvis du oppdager transaksjoner eller annen bruk av kortene dine, som du ikke kjenner igjen, må du si ifra til banken eller kredittkortselskapet med en gang.

4. Følg med på postkassa.
Vær særlig oppmerksom dersom du mottar gjenpartsbrev for kredittvurderinger du ikke kjenner til. Hvis du mottar slike må du ta kontakt med den som har bestilt kredittvurderingen. Se også etter regninger for varer eller tjenester du ikke har kjøpt. Dersom du får regning for noe du ikke har bestilt, kontakter du den som har sendt deg regningen. Hvis du får mindre post enn du pleier, eller ikke får post i det hele tatt, kan det være lurt å kontakte Posten for å forsikre deg om at ingen har omadressert posten din.

5. Ikke oppgi personlig informasjon på e-post eller telefon.
Seriøse aktører vil aldri be deg oppgi personlig informasjon på e-post. Vi anbefaler at du ikke sender noe i en e-post som du ikke kan sende på et postkort. Det er fordi e-post er en usikker kommunikasjonskanal.

Hvis noen tar kontakt per telefon og ber deg oppgi personlig informasjon, som kredittkortnummer og koder, fødselsnummer eller passord over telefon, kan du ta det som et sikkert tegn på at noen prøver å lure deg.

6. Anmeld ID-tyveri til politiet
Hvis noen tar opp lån eller kjøper varer og tjenester i ditt navn, kan du være utsatt for ID-tyveri. Da må du kontakte ditt lokale politikontor og anmelde forholdet.

Test hvor god du er på å beskytte personopplysningene dine:

Les mer om ID-tyveri