KOMMENTAR: På digi.no onsdag 5. november skriver Lillian Røstad, seksjonssjef i Difi at Datatilsynet er motstandere av deling av personopplysninger. La meg først si at Datatilsynet er ikke noen generell motstander av deling i offentlig sektor.
Tvert imot mener vi at sektoren både bør følge med på utviklingen og ikke minst benytte seg av de nye mulighetene for deling så lenge løsningene både ivaretar brukerens personopplysninger og gir den enkelte bedre tjenester. Det skriver vi også i bloggen. Vårt hovedpoeng er at det offentliges digitale samhandling om personopplysninger må skje på en god og sikker måte, og at den som opplysningene handler om skal ha en sentral rolle i denne samhandlingen.
Forvaltningen må være åpen om digital deling av personopplysninger.
For å oppnå dette må forvaltningen først og fremst være åpen om hva den gjør. Dette er så enkelt (og så vanskelig) som at den enkelte innbygger til enhver tid skal vite hvem som behandler hans eller hennes personopplysninger. Hvis ikke vil den som eier opplysningene verken kunne kreve sine lovmessige rett til innsyn i egne opplysninger eller benytte sin mulighet til å rette eller slette opplysninger. Det er også umulig å ha kontroll over egne opplysninger når du ikke vet hvem som behandler dem til hva.
Det siste er også en grunnleggende personvernrettighet. Personvern handler om å ha kontroll over egne opplysninger. Denne retten gjelder uavhengig av om personopplysningene innhentes på grunnlag av samtykke eller lovhjemmel.
Lovhjemmel sikrer ikke nødvendigvis godt personvern.
Når det er sagt må vi understreke at lovhjemmel på ingen måte sikrer godt personvern. I mange tilfeller vil det at opplysninger hjemles i lov føre til at borgeren ikke får vite at opplysninger deles mellom ulike forvaltingsorgan. Til tross for at forvaltningsorganene mener at denne delingen gir borgeren mer effektive tjenester og tar bedre hensyn til den enkeltes personvern, er det ikke sikkert den som eier opplysningene er enig.
Dette kan få konsekvenser for den opplysningene gjelder, for eksempel hvis det er feil i opplysningene som deles. Den opplysningene handler om vil i et slikt tilfelle bli fratatt sin mulighet til å rette feilene. Han eller hun kan da oppleve at avgjørelser om vedkommendes rettigheter og plikter blir feil. Dersom opplysningene er feil og hindrer borgeren i å oppnå rettmessige goder i samfunnet, spiller det liten rolle hvor mange eller få opplysninger som deles.
Jo flere personopplysninger som deles, jo bedre må informasjonssikkerheten være.
Dette leder oss frem til nok et personvernprinsipp, prinsippet om informasjonssikkerhet. Den sier at den eller de som oppbevarer personopplysninger må sikre opplysningene mot uautorisert tilgang, endring, ødeleggelse og spredning. Opplysningene må også beskyttes mot ødeleggelse som følge av uhell.
Selv om digitalisering kan føre til at det i noen tilfelles deles færre personopplysninger enn ved manuell deling, er digitale systemer tilgjengelig på en helt annen måte enn manuelle systemer. Dette gjør at de er mer utsatt for sikkerhetsbrudd, hacking eller andre typer angrep enn det manuelle systemer er. Jo flere personopplysninger som deles mellom offentlige organer, jo bedre sikkerhet kreves det av systemene til det de offentlige organ som samhandler.
Store mengder av sammenstilt informasjon om mange enkeltpersoner har også vist seg å være et attraktivt mål for datainnbrudd. Det har vi sett mange eksempler på og det kommer vi helt sikkert til å se enda flere eksempler på fremover. Noen ganger er det også kun tilfeldigheter og ikke innbrudd som avslører sikkerhetssvikt i offentlige systemer. Et eksempel på dette er sikkerhetshullet i skjemaet til Brønnøysundregisteret som nylig ble oppdaget.
God informasjonssikkerhet er ingen garanti for godt personvern.
Digitaliseringen av offentlig sektor krever derfor en reel oppgradering av både systemer og kunnskap om informasjonssikkerhet og personvern i offentlig sektor. Det må gjøres gode risikovurderinger samtidig som personvernkonsekvenser må utredes ved en privacy impact assessment. Vi mener også at god informasjonssikkerhet i seg selv ikke er noen garanti for godt personvern. Personvern må bygges inn i alle løsninger fra starten av.
Digitaliseringen må skje på borgernes og ikke det offentliges premisser.
For å oppsummere er Datatilsynet ikke noen generell motstander av deling av personopplysninger. Vi ser at deling kan gi bedre tjenester og kortere prosesser i byråkratiet. Hvis det gjøres riktig kan det også ivareta personvernet for den enkelte. Det krever imidlertid at arbeidet med digitaliseringen og utvekslingen av personopplysninger må gjøres med utgangspunkt i hva som er best for den som bruker tjenestene. Det er tross alt dennes personopplysninger som danner grunnlaget for tjenestene og det er dennes personvern som svekkes når delingen skjer på det offentliges fremfor borgerens premisser.
Alle innlegg må sendes til redaksjon@digi.no. Husk å legge ved et portrettbilde. Vi forbeholder oss retten til å redigere innsendt materiale.
Leave a Reply