Dette prioriterer Datatilsynet

Dette prioriterer Datatilsynet

Beinharde prioriteringer fra personvernets beskyttere. Klassikere som kameraovervåkning er strøket. Sjekk lista!

- Det er ubegrensede arbeidsoppgaver datatilsynet kan drive med i 2013, så vi er nødt til å være spisset, sier Bjørn Erik Thon, direktør i Datatilsynet.

Tilsynet har valgt seg ut sju områder de vil se ekstra nøye på i 2013, uten at det betyr at det ikke jobbes med annet.

«Annet» er slik som vanlig saksbehandling, for eksempel. Det har vært småtendenser til lettere «backlog» i behandlingskøen, så denne uken har Thon personlig og informasjonsdirektør Ove Skåra stengt ned telefonlinjene og selv satt seg ned foran Outlook for å svare på epost med spørsmål om personvern.

- Denne uken står i saksbehandlingens tegn. Vi svarer selv på epost, så brukerne får veldig gode svar, sier Thon og flirer litt.

Mer om dette kan du se i neste episode av CWTV, som kommer på nett om ikke overveldende lenge.

Åkkesom; det er i alle fall stadig folk som lurer på det ene og det andre, kan Thon og Skåra bekrefte med troverdig innlevelse.

- Vi behandler en del enkeltsaker. Det er mange som lurer på hva som er konsesjonspliktig, meldepliktig også videre. 50-60 prosent av vår kapasitet går med til løpende oppgaver som saksbehandling, årsmelding, mediehendelser også videre, sier Thon.

"Etterforsker" etterforskere

Det er altså derfor de har satt ned sju områder de skal se ekstra nøye på. Deriblant allerede omtale Big Data.

- Vi ser jo at dataanalyser kommer for fullt. Nasjonal sikkerhetsmyndighet etterspør for eksempel folk som «drømmer om terrabytes».

Men de vil også jobbe mot justissektoren, mot skole og utdanning, mot arbeidsliv, mot offentlig sektor og mot helse spesielt - samt mot såkalt innebygget personvern, altså tanken om at det i løsninger som lanseres er tenkt personvern fra første bærebjelken blir påbegynt støpt, så man slipper å støpe ny når taket er på plass.

Klassiske felter som kultur, samferdsel og kameraovervåkning er altså ikke prioritert i år.

La oss ta arbeidet i justissektoren først. Datatilsynet har for eksempel fått inntrykk av at en del kontrollfunksjoner privatiseres. Selskaper som jobber med privatetterforskere, vektertjenester og lignende nå er i vekst, ser tilsynet tendenser til.

- Vi har hatt noen saker i år der vi har sett på selskaper som går inn og kontrollerer arbeidstakere, blant annet. Og det gjør at vi har blitt litt obs på denne bransjen. Bransjer i endring og bransjer i vekst er typiske kriterier som gjør at vi prioriterer dem opp, forklarer Thon.

Ellers er det nok å se på i det offentlige også. Man ser en tendens til at offentlige kontrollvirksomheter som Nav og Skattevesenet utfører kontroll med enkeltmennesker. Og så er både politiregisterloven og datalagringsdirektivet etter planen ment å komme på plass innen utgangen av 2013.

- Det blir helt naturlig å gjennomføre tilsyn mot de registrene der. Samtidig vil vi ha god dialog, så de får registrene riktig - det er ikke slik at vi går rundt og prøver å finne feil, understreker Thon, som peker på det allerede nevnte temaet med innebygget personvern.

De vil ellers etterstrebe å ha hyppig kontakt med instanser som Justisdepertementet, PST, EOS-utvalget, Politidirektoratet og flere, og er også tett på i det offentlige ordskiftet i form av debattdeltakelse.

Elevdataflyt et mysterium

Tilsynet ser at det skjer mye innen skolevesenet også, i det siste med et stort dataløft som riktignok har pågått noen år. Vi snakker helelektroniske læringsplattformer, felles administrasjonssystemer, lagring av elevvurderinger og ikke minst besøk hos helsesøster og atferdselsundersøkelser. Datatilsynet vil gjerne danne seg oversikt over hva som skjer i dataflyten.

- Hva skjer med utveksling av data mellom ulike enheter? Hva skjer med opplysninger en barnehage har, en barneskole har, en ungdomsskole har, en videregående skole har - lagres det i felles systemer? Hva får PP-tjenesten vite, hva med helsetjenester?, spør Thon.

- Det skjer mye rundt skolen, der skolen i seg selv er selve navet. Tiden er veldig moden for å se på dette.

Thon fremhever at det også er et spørsmål om hvem som skal ha tilgang.

- Ting som kan lagres elektronisk har en tendens til å bli etterspurt.

Tilsynet vil skaffe oversikt over hva som skjer med personopplysninger på skolen, det tror de ingen har dags dato, og vil også vite hvordan opplysninger sikres. Det vil innevære tilsyn hos skoler og leverandører av læringsplattformer, både ved oppmøte og via brev.

- Vi skal ende opp med et sluttprodukt som blir «Skolepakken», om hvordan skolen og læringsplattformene kan innrette seg for å være i overensstemmelse med loven. Jeg blir jo overrasket om skolen ikke ønsker å lære av det vi finner, sier Thon.

Vokt Dem for hunden!

På arbeidsmiljøfronten får Datatilsynet mye spørsmål fra publikum, for eksempel når det gjelder kameraovervåkning, arbeidsprogrammer på datamaskin, GPS og så videre.

- Det ligger et naturlig incitament om at arbeidsgiver vil overvåke. Arbeidsgiver har makt, sier Thon.

De er opptatt av å ha kontakt med partene i arbeidslivet, og skal snart snakke med lederne i hovedorganisasjonene. Hvordan personvernet i arbeidslivet i dag reguleres og om det kan bli en del av hovedavtalen er blant tingene på agendaen.

- Vi vil utarbeide gode presentasjoner om kontroll i arbeidslivet og aktivt stille oss til disposisjon for foredrag for partene i arbeidslivet. Vi skal gi innspill til temaer som forholdet mellom arbeidsmiljøloven og personopplysningsloven, sier Thon.

På kontrollfronten er en naturlig kandidat dem som driver med flåtestyringsverktøy og GPS.

- Det er kanskje den mest aktuelle potensielle trusselen.

De vil også ser på rusmiddeltesting.

- Vi får jevnlig spørsmål om dette når det gjelder arbeidslivet, senest i dag. Her er det strenge regler, det skal være hjemlet i lov, sier Thon, som kjapt for oppfølgingsspørsmål om narkohunder i skolen, der han påpeker at elevene skal få muligheten til å samtykke til slikt - om det så setter dem i et ufordelaktig lys å nekte og bli luktet på.

- Men hvis hunden likevel er i nærheten, vil den jo markere likevel?

- Vel, det skal samtykkes før hunden bringes inn, sier Thon.

- Det hele er jo litt absurd. Skulle likt å sett fjesene deres om det plutselig kom inn en narkohund i rommet her nå. Eller på Stortinget.

Helsesystemer trenger helsesjekk

I offentlig sektor skjer det mye for tiden, særlig med bakgrunn i digitaliseringsprogrammet. Derfor har tilsynet også satt opp dette som en prioritering. Det skal være digitalt førstevalg, så det offentlige skal sende folk informasjon digitalt og dialogen med offentlige etater skal også pågå digitalt.

- Det er jo ikke noen overraskelse at vi har kommet hit, men det er klart det er mange prosjekter som pågår nå som har betydning for oss. Folkeregisteret, nasjonalt id-kort, id-tyveriarbeidet for eksempel, sier Thon.

Tilsynet tror mange av de nybygde prosessene og funksjonene kommer til å havne i Altinn-portal. Der er igjen såkalt innebygget personvern viktig, understreker direktøren.

- Det er sentralt at Direktoratet for forvaltning og ikt (Difi) tar hensyn til personvernet så tidlig som overhodet mulig.

Helse er jo offentlig, men er likevel listet som egen prioritering. Det er en omfattende bolk.

- Helse må alltid være med på lista, fastslår Thon.

Kjepper i selve Nav-et

Helseregistre, kjernejournal, helseportal, "en pasient; en journal" er endringer som må følges opp.

- Vi følger blant annet med på, og gir innspill til, revisjon av helseregisterloven, herunder reservasjonsretten.

For tilsynet bli det veldig viktig å mase på Helse- og omsorgsdepartementet for å få dette riktig fra starten, mener Thon. God sikkerhet, god tilgangsstyring og eventuelt sperring av journalopplysning påpeker han bør være på plass. Det skal ikke så mye til å forbedre det noen hakk fra dagens løsning, tror han.

- I dag er det slik at man egentlig bare har koblet strøm på de gamle journalene.

De følger også med på og bidrar i prosjekt for modernisering av Navs it-systemer, som fikk en større sum penger over statsbudsjett for 2013.

- Det er viktig. Personvernet i Nav har ikke vært godt nok, igjen delvis på grunn av tilgangsstyring. Men vi har samtaler gående og tror det går fint.

Også helsesektoren vil få tilsyn, blant annet virksomheter som driver helseforskning med godkjenning fra Regionaletiske komiteer (REK). I tillegg vil tilsynet undersøke hvorvidt virksomheter som fastleger og spesialister informerer om utlevering av data til sentrale helseregister.

- Hva går fra fastlegen eller spesialisten over til sentrale helseregistre? Og vet folk at dette skjer og at de kan brukes til forskning?

Tidlig krøkes

Utover det satser tilsynet videre på å knytter kontakter i forskning- og utdanningsmiljøer.

- Kontakt med dette miljøet er sentralt for oss. Vi vil gjerne få folk til å skrive masteroppgaver om personvern, og det gjør en del også, sier direktøren.

Grunnen er å få personvern inn så tidlige som mulig, påpeker han. Blir studenter opptatt av personvern, får man bedre pesonvern, ifølge Thon.

- Det er vår overordnede strategi - vi er nødt til å få andre til å være interessert i personvern, så tidlig som mulig. Også er vi opptatt av å komme i dialog med bransjer der det er utviklere og offentlige etater så tidlig som mulig.

Dialog har de også stadig med Facebook. Thon skal snart fly over for møte med det sosiale nettverket pluss et par andre møter.

- Det må være lov å si, uten å være for kjepphøye, at vi nok er den personvernsmyndigheten i verden som har tettest dialog med Facebook, uten å gå i konfrontasjon, sier Thon.

Les om:

Sikkerhet