Offentlige må ta personvernansvar

Offentlige må ta personvernansvar

De færreste statlige etater informerer befolkningen om vern av persondata.

Datatilsynet har undersøkt om statlige etater informerer om hvordan de håndterer personopplysninger. Slike personvernerklæringer er etterhvert god kutyme hos private firma, men det skorter på det samme hos de offentlige virksomheter.

- Forvaltningen har hjemler i lover og forskrifter til å hente inn og lagre store mengder personopplysninger. Det er derfor lett å glemme at det er en oppgave for forvaltningen å være åpen og informere befolkningen. Derfor mener vi alle offentlige nettsteder bør ha en personvernerklæring, sier Bjørn Erik Thon, direktør i Datatilsynet, til Computerworld.

Thon får støtte fra it-statsråd Rigmor Aasrud i at dette er viktig i forvaltningen.

- Jeg ser dessverre at mitt eget departement ikke har fått dette på plass ennå. Det er imidlertid gode maler for hvordan dette skal gjøres og det gjelder bare å få tatt disse i bruk, sier hun til Computerworld.

Statsråden lover at de skal være på plass «i løpet av kort tid».

- Det handler om å etablere tillit. Diskusjonene i det siste, inkludert om DLD, viser at folk er opptatt av personvern, samtykker Thon.

Ikke bare søk og erstatt

Han poengterer at virksomhetene nok må legge litt innsats i å utvikle hva de skal skrive om personvern på sine sider.

- Det er ikke bare å satse på «søk og erstatt» i en mal. Det må gjøres en jobb med å gå gjennom hvilke rutiner man faktisk har og eventuelt justere dem for gjeldende krav og forventninger. Det finnes nok virksomheter som vil bli overrasket over hvordan de faktisk behandler personopplysninger, sier Thon.

Han sier at Datatilsynet har vurdert å lage en egen mal, men innser at dette ikke ville virke etter hensikten.

- Offentlige virksomheter er for ulike og må finne ut av hvordan de gjør dette selv. Vi har ikke avdekket noen brudd på personvern i denne rapporten. Virksomhetene bør likevel være oppmerksom på at manglende informasjon om hvordan de håndterer personopplysninger kan oppfattes som at ikke alt er helt på stell i virksomheten, poengterer Thon.

Små og store forskjeller etatene i mellom

Aasrud poengterer at det er forskjell på offentlige nettsteder. Etater som velferdsetaten NAV eller virksomhetene i helsesektoren håndterer mye svært sensitiv informasjon og bør vektlegge dette som service for befolkningen.

- Men det handler om å være bevisst rundt at man faktisk håndterer viktig informasjon for andre. Forvaltningen skal være så åpen den kan. Da må man dokumentere at man gjør det man sier med opplysningene man sitter på om folk, sier statsråden.

Hun er opptatt av at offentlige virksomheter alltid har håndtert sensitive data, men med digitalisering blir det mer data og mulighet til å informere mer og bedre.

Statsråden varsler at det foreløpig ikke kommer annet enn en sterk anbefaling om at dette skal på plass. Hvilke aktive tiltak som skal gjøres er avhengig av om virksomhetene er seg sitt ansvar bevisst. At dette tas inn i neste revisjon av Informasjonspolitikken i Staten er mulighet.

- Vi vil også se hva som kommer ut av strategiarbeidet til Datatilsynet som skal fullføres denne høsten, i god tid før tildelingsbrevene etter at statsbudsjett er vedtatt skal ut til etatene. Da får vi se hvilke oppgaver Datatilsynet får i å følge opp, og hva vi vil legge til grunn i tildelingsbrevene. Ingen tildelingsbrev som passerer mitt bord går fri for tillegg og justeringer fra meg, understreker statsråden.

SSB og Forsvaret best

Kommunene er ikke tatt med i denne omgangen. Dette innebærer ikke at også de bør legge seg på en åpenhetslinje siden de ofte er nærmest den enkelte innbygger.

- Vi får se hvordan vi kommer til å følge opp kommunene når vi har avgjort hvordan vi skal følge opp denne undersøkelsen i vår strategi framover, sier Thon.

I rapporten "Fortell meg hva dere gjør!" har Datatilsynet undersøkt 20 nettsteder. Femten er for statlige, offentlige virksomheter, og fem er private nettsteder. Rapporten poengterer at datagrunnlaget er tynt, men tendensen er jevnt over at det står noe igjen både for private og offentlige nettsteder. Snittkarakteren for alle nettsteder ved sjekk av et sett med kriterier var 3,55 på en skala til ti. Kun én virksomhet fikk karakteren åtte.

Det er sjekket for om personvern er nevnt på forsiden til nettstedet, om det er lenket til eller mulig å søke opp mer informasjon om emnet og hva denne informasjonen faktisk sier om personvern og behandling.

Statistisk Sentralbyrå har ingen erklæring på forsiden, men dokumenterer personvernretningslinjene på underliggende sider. Fire virksomheter, Forsvaret og bank- og forsikringsstedene If, Storebrand og Skandiabanken fikk alle karakteren seks. Svakest kommer Helse Fonna HF (Helseforetak) og Fokus Bank ut.

Hele rapporten kan hentes hos nettstedet til Datatilsynet. De har ikke en lenke til sine personvernretningslinjer på forsiden. Til gjengjeld mangler det ikke informasjon om temaet på sidene.