Trenger vi et nytt ord for personvern?

De siste årene har jeg hatt gleden av å studere, i tillegg til å jobbe med digitalisering i Sarpsborg kommune. Studiet «Erfaringsbasert master i it og ledelse» ved UiO har gitt noen overraskelser underveis! 

Jeg har skrevet om alt fra «Hva preger organisasjonskulturen vår?» og «Hvordan har IKT-medarbeiderne opplevd omorganiseringen?» til «Hvilke læringspunkter kan våre havarerte ITIL-prosjekter gi oss?» og «Hvordan har vi praktisert teknikker for kartlegging av brukerbehov?»

Personvernfravær

Som mangeårig personvernombud i kommunen brenner jeg imidlertid mest for personvernet, og jeg har tenkt mye på hvordan vi kan klare å ivareta dette. Her har jeg gjort noen litt overraskende funn, som jeg gjerne vil dele.

I 2015 satte jeg meg fore å finne ut av hvorfor det kun registreres et forsvinnende lite antall datasikkerhetsbrudd hos oss. Jeg fant det besynderlig at det i en kommune med over 4.100 ansatte kun var 15 avvik på dette feltet i 2014.

Oppgaven het da «Hva påvirker ansattes registrering av avvik innenfor informasjonssikkerhet og personvern?» I tillegg til å intervjue kollegaer, lagde jeg en spørreundersøkelse. Undersøkelsen ble sendt ut til 100 medarbeidere fra ulike deler av kommunen, og 70 personer besvarte undersøkelsen.Resultatene så slik ut:

Ved første øyekast ser jo dette lovende ut: Hele 92 prosent av de spurte sier seg helt enig eller ganske enig i at de kjenner til hva personvern betyr. «Dette har vi koll på!», forteller tallene ganske så tydelig. Kun tre prosent sier seg ganske uenig i påstanden, og ingen er helt uenig. Så langt alt vel.

Avviksoppfatninger

Mot slutten av undersøkelsen la jeg inn følgende kontrollspørsmål:«Hvilke(n) av disse hendelsene er et avvik innenfor informasjonssikkerhet og personvern?»

Det er her overraskelsen kommer:  

Hele 44,3 prosent mener at en person som opptrer truende mot deg er en trussel mot personvernet! I tillegg mener en tredjedel at en krenkende e-post er et personvernavvik. Det ser ut til å være en utbredt misforståelse blant våre ansatte at personvern handler om vern av personer, og ikke vern av våre personopplysninger.

La meg være den første til å være kritisk mot egen forskning: Utvalgsstørrelsen her (n=100) er alt for liten til å trekke noen sikre konklusjoner. Men uansett: Det er indikasjoner på at begrepet misforstås – og da kan det nok hende at dette også skjer andre steder enn i Sarpsborg.

It-svikten

Men lets face it: Har ikke vi informasjonssikkerhetsfolk oss selv å takke? Vi har i årevis messet om konfidensialitet, integritet, tilgjengelighet til våre kollegaer har fått glassaktige blikk, tunge øyelokk og whiplash. Vi har dyrket et stammespråk med ord og uttrykk som betyr nada for vanlige folk.

I stedet for å snakke om «uønskede hendelser som kan utgjøre en trussel mot konfidensialiteten» bør vi stille brukerne spørsmål som

• Hva gir deg litt vondt i magen her?
• Hva er du bekymret for når dere håndterer sensitive opplysninger?
• I hvilke situasjoner kan sensitive opplysninger komme på avveie?

Klart språk er mangelvare når det gjelder personvern. De som har lest databehandleravtaler fra Microsoft (på engelsk) eller veiledningsmateriellet fra Datatilsynet vil nikke gjenkjennende. (Unnskyld, Bjørn Erik Thon!)

På engelsk brukes begrepet "privacy" om personvern, og dette ordet gir jo en helt annen umiddelbar forståelse av betydningen. Det handler om privatlivets fred! Kontroll over egne personopplysninger, og beskyttelse mot uønsket innsyn.

Så: Burde vi ha hatt et bedre ord på norsk for personvern? Burde vi ha kalt det

• Opplysningsvern?
• Informasjonsbeskyttelse?
• Privatliv?

Eller skal vi finne helt nye metoder når vi skal kommunisere med folk flest om personvern?PS: Vil du vite «Hva som påvirker ansattes registrering av avvik innenfor informasjonssikkerhet og personvern» i Sarpsborg kommune? Organisasjonskultur, tidspress og brukeropplæring.

Knut J. Eggen er personvernombud i Sarpsborg kommune og master i it og ledelse fra UiO.