- Vi må tenke innebygget personvern

KRONIKK: Når flere tjenester flyttes over på nett, skapes nye utfordringer for innbyggerens personvern.

Publisert Sist oppdatert

I "På nett med innbyggerne" presenteres regjeringens digitaliseringsprogram, en strategi for å forbedre og effektivisere offentlige tjenester. Digitalisering betyr i denne sammenhengen å benytte moderne teknologi i kommunikasjonen mellom innbygger og offentlig myndighet. Det gjelder også for saksbehandling og samhandlingen mellom offentlige instanser. For innbyggerne betyr dette flere nettbaserte offentlige tjenester. Når flere tjenester flyttes over på nett, skapes nye utfordringer for innbyggerens personvern.

Personvern handler blant annet, om retten til å bestemme over egne personopplysninger.

I forholdet mellom innbygger og det offentlige, er personvern også en rettsikkerhetsgaranti. En innbygger med kontroll over egne personopplysninger kan oppdage myndighetsmisbruk og blir dermed i stand til å motvirke dette. Mer deling og gjenbruk av personopplysninger i offentlig sektor gjør det vanskelig for innbyggeren å kontrollere hvem som behandler hvilke opplysninger.

Ved deling og gjenbruk av personopplysninger, utfordres også bestemmelsen om formålsbegrensningsprinsippet i personopplysningsloven. Dette prinsippet innebærer for det første at datainnsamlingen ikke kan omfatte andre personopplysninger enn det som er nødvendig for å oppnå behandlingsformålene, og for det andre at opplysningene ikke kan brukes til andre formål enn disse. Offentlig sektor er storforbruker av alle typer personopplysninger. Opplysningene brukes særlig til å fastslå hvilke rettigheter og plikter den enkelte innbygger har. Derfor er det i innbyggernes interesse at det offentlige har tilgang på korrekte personopplysninger.

Feil forståelse av data kan gi gale beslutninger. For å sikre at personvernet ivaretas ved deling og gjenbruk av personopplysninger, må opplysningene forstås likt av alle parter. Konsistente data må sikres med gode og avklarte metadata.

Teknologi gir muligheter for å utvikle og effektivisere offentlig sektor. For å sikre godt personvern ved utveksling og deling av personopplysninger mellom ulike offentlige instanser og mellom offentlige og private aktører, må ansvarsforholdene være tydelig. For at innbyggerne skal kunne ivareta eget personvern, må de få informasjon om hvor opplysningene deres er, og hvilke formål de kan bli brukt til.

Digitalisering og gjenbruk av personopplysninger fører ikke automatisk til en svekking av innbyggernes personvern. Hvis løsninger og systemer tilpasses, kan personvern ivaretas på en god måte. Da må bestillere og utviklere tenker personvern fra planleggingen av digitaliseringstiltak og videre i utvikling, drift, forvaltning og videreutvikling av løsninger. Dette kalles innebygd personvern eller Privacy by design. Å bruke prinsippene for innebygd personvern er både kostnadsbesparende og mer effektivt enn å måtte forandre eller tilpasse et ferdig system for å oppfylle kravene i personopplysningsloven. Å ta i bruk innebygd personvern krever først og fremst at offentlige aktører blir gode bestillere. Da kan offentlige aktører bidra til at personvernvennlige løsninger blir et konkurransefortrinn for leverandører av systemer og løsninger.

Andre områder Datatilsynet er opptatt av, er bruken av Altinn, mangel på virksomhetssertifikater og bruken av digitale postbokser.

Nærings- og handelsdepartementets vekt på at Altinn primært er en løsning for næringslivet, har skapt en utfordring fordi løsningen i stadig større grad brukes i forbindelse med tjenester for innbyggere. Avviklingen av MinSide har forsterket innbyggernes bruk av, og behov for å bruke Altinn. Dette stiller andre krav til sikring av personvern i løsningen enn om den kun ble brukt av næringslivet.

En utfordring for næringslivsaktører er mangelen på utbredelse av virksomhetssertifikater. Dette utfordrer arbeidstakernes personvern, fordi den enkelte ansatt må bruke sin private eID i jobben. Handlinger utført i jobbsammenheng blandes da sammen med privat bruk av eIDen. Det er også utfordrende for virksomhetens informasjonssikkerhet at arbeidsgiver ikke har kontroll med hvordan de ansatte forvalter sine private eIDer.

I en sikker digital postboks vil samlingen av brev og skjema som sendes mellom den enkelte innbygger og det offentlige inneholde en betydelig mengde personopplysninger. Når sikkerhetsnivå i løsningen skal fastsettes, må en ta høyde for dette. Det er ikke nok å se på beskyttelsesnivået til hver enkelt sending.

Datatilsynets ”Strategi for godt personvern i digitaliseringen av offentlig sektor” setter personvern i digitaliseringen på dagsorden. Datatilsynet ønsker først og fremst å bidra til at offentlige aktører tenker innebygd personvern, det vil si at de tar hensyn til personvern i alle utviklingsfaser av et system eller en løsning. I Stortingsmelding nr 11 Personvern – utsikter og muligheter, heter det: «Ein bør derfor fastsetje eit prinsipielt mål om innebygd personvern i alle sektorar”. Dette er et viktig politisk signal, ikke bare til Datatilsynet, men til alle som har roller i eller bidrar til digitaliseringen av offentlig sektor.

Når videreutviklingen av Altinn, eID løsningene og en sikker digital postboks tar utgangspunkt i prinsippene for innebygd personvern, kan digitaliseringen av offentlig sektor bidra til å bedre innbyggernes personvern.