Tre sentrale innsatsområder
Tiltakene vi foreslår, fordeler seg på tre ulike innsatsområder, som sammen gir et fundament for videre arbeid med løsninger for innsyn og kontroll.
Tre innsatsområder for videre arbeid
Tiltakene er gruppert inn i tre ulike innsatsområder, som svarer på ulike behov og problemområder vi har identifisert gjennom arbeidet. Innsatsområdene kan godt sees hver for seg, men tilsammen utgjør de en helhetlig tilnærming på utfordringene vi har identifisert. De foreslåtte tiltakene er beskrevet på et konseptuelt nivå, og representerer ikke endelige løsninger eller svar.
Utgangspunktet: ti sentrale behov
Gjennom rapporter, intervjuer, samtaler og workshops er ulike ønsker og behov hos innbyggere og virksomheter kartlagt. Behovene danner grunnlaget for de tre innsatsområdene og tiltakene vi foreslår.
Som innbygger ønsker jeg:
- Oversikt over personopplysningskilder i offentlig sektor, slik at jeg får en bedre forståelse av hvordan det offentlige fungerer og hvilke personopplysninger som kan finnes om meg.
- Informasjon om hvordan virksomheter behandler personopplysninger, slik at jeg kan ha tillit til dem og hvordan de behandler informasjon om meg.
- Veiledning for å søke innsyn på en effektiv og god måte.
- Oversikt over hvor det finnes opplysninger om meg, slik at jeg får økt forståelse for hvordan opplysningene om meg brukes, og kan søke innsyn i det jeg har behov for.
- Innsyn i egne opplysninger på et hensiktsmessig språk og form, slik at jeg forstå min egen situasjon, virksomhetenes bruk av mine personopplysninger og utøve mine øvrige rettigheter slik som retting og sletting.
- Råderett over egne personopplysninger, slik at jeg kan ta i bruk tjenester jeg har behov for.
Som behandlingsansvarlig virksomhet ønsker jeg:
- Oversikt over personopplysninger og hvordan de behandles, slik at virksomheten oppfyller innbyggers rettigheter på en måte som ivaretar transparens og tillit, og legger til rette for ansvarlig bruk og viderebruk av personopplysninger.
- Standardisering av krav til systemer, slik at virksomheten enkelt kan gi innsyn etter personvernforordningen.
- En beste praksis for hva man gir innsyn i, og hvordan, slik at det blir enklere å gjøre vurderinger rundt innsyn.
- Verktøy og prosesstøtte for behandling av innsynskrav, slik at virksomheten kan håndtere innsynskravene på en god og strukturert måte.
Innsatsområde 1: Oversikt over personopplysninger
For at innbyggeren skal være i stand til å kreve innsyn etter personvernfordningen, må man vite hvem man kan henvende seg til, og om hva. Mange etterspør også generell informasjon om hvordan det offentlige behandler og deler personopplysninger, heller enn et konkret innsyn i egne personopplysninger. God oversikt kan derfor bidra til en forståelse som gjør at innsyn ikke alltid er nødvendig. Innsatsområdet handler om å gi innbyggeren et kartet over terrenget.
Vi har samlet tiltak som skal understøtte innbyggers informasjonsbehov knyttet til behandling av personopplysninger på tvers av det offentlige. Tiltakene skal bidra til økt åpenhet rundt behandling av personopplysninger gjennom å gi innbyggerne oversikt over hvilke personopplysninger som behandles, og hvor i offentlig sektor behandling skjer. Tiltakene handler også om å løse virksomhetenes behov for bedre informasjonsforvaltning.
Et eksempel: Dersom jeg enkelt kan finne ut hvem som behandler inntektsopplysninger i offentlig sektor, kan jeg forstå hvor jeg skal henvende meg for å kreve innsyn i disse opplysningene. Jeg vil også kunne få tilstrekkelig forståelse om behandlingene av opplysningene slik at informasjonsbehovet mitt er dekket uten at jeg trenger å be om innsyn.
Åpenhet om hvordan personopplysninger brukes, er et virkemiddel for å opprettholde tillit. Ved å samle og tilgjengeliggjøre informasjon om hvordan virksomhetene bruker personopplysninger, vil vi skape mer opplyste innbyggere med bedre forutsetninger for å ivareta eget personvern.
Det er et klart uttalt politisk mål at det offentlige Norge i økende grad skal tilby sammenhengende tjenester. Et av kjennetegnene ved slike tjenester er at det ikke er synlig for brukeren at tjenesten flyter gjennom ulike forvatningsnivåer og forskjellige siloer. Tjenestene skal oppleves som sømløse og sammenhengende, og brukeren slipper å forholde seg til forvaltingens interne organisering.
For at den registrerte skal kunne utøve sin rett til innsyn ved bruk av sammenhengende tjenester, er det viktig å sikre at innbygger får en helhetlig forståelse. Det vil derfor være nødvendig å synliggjøre de ulike behandlingene med tilhørende behandlingsansvarlige virksomheter som inngår i de sammenhengende tjenestene.
Innbyggerne forventer at offentlige tjenester oppleves som sammenhengende, og det er en forutsetning at personvernet etterleves fullt ut også i slike tjenester.
Hva kan resultatet bli?
- Innbygger kan ved hjelp av tiltaket Tilgjengeliggjøre oversikt for innbygger identifisere hvilken virksomhet jeg skal oppsøke for å få informasjon om behandlingen (Personvernforordningen art. 13 og 14).
- Det er innført insentiver slik at virksomhetene har tatt i bruk behandlingsoversikt med hensiktsmessig systemstøtte som også understøtter Tilgjengeliggjøre oversikt for innbygger.
- Virksomhetene har fått hjelp til å etterleve personvernforordningen ved at man har bedre oversikt over egne behandlingsaktiviteter. Som virksomhet vil jeg ved hjelp av en felles begrepsoversikt for kategorier av personopplysninger kunne vise frem mine databehandlinger, og hvordan de henger sammen med annen behandling i offentlig sektor.
- Virksomhetene har fått hjelp til orden i eget hus for personopplysninger, ved at man har løftet opp felles verktøy for å støtte informasjonsforvaltningen.
Tiltak: Tilgjengeliggjøre oversikt for innbygger
Alle virksomheter publiserer en oversikt over hvilke kategorier personopplysninger man behandler jf. personvernforordningen art. 13 og 14.
En innbygger kan ha relasjoner til offentlige virksomheter som hen selv ikke er klar over. Vi foreslår derfor å gi innbyggerne en felles oversikt over informasjon i behandlingsoversiktene fra ulike virksomheter og sektorer. Gjennom å høste og samle informasjon om hvem som har de ulike opplysningene, vil tiltaket gi innbyggerne en oversikt over hvem som har hvilke kategorier av personopplysninger.
En slik oversikt over behandling av kategorier av personopplysninger vil gjøre det enklere for innbygger å utøve sine rettigheter. Tiltaket vil også bidra til at virksomhetene i enda større grad etterlever informasjonspliktene som følger av personvernforordningen, og mer utstrakt bruk av informasjonen vil på sikt bidra til bedre informasjon i klarspråk.
En samling av informasjon fra behandlingsoversikter og eventuell utvidelse av tilstøtende katalogtjenester skal sikre at innbygger kan få oversikt på tvers, tilpasset situasjon og behov. Dette er nødvendig for at man skal kunne utvikle eller utvide brukergrensesnitt for relevant brukerdialog slik at innbygger kan oppnå oversikt. En slik sammenstilling kan også bli et nyttig verktøy for å kunne analysere og gjøre vurderinger rundt viderebruk og gjenbruk av personopplysninger.
En felles tilnærming vil også kunne fremme organisatorisk samhandling, spesifikt samarbeid og gjenbruk innen personvernarbeid og mulighet for å løfte og gjenbruke de gode løsningene som allerede finnes. En slik ressurs kan også fungere som fundament for samhandling om personvern koblet til sammenhengende tjenester der flere juridiske enheter er involvert gjennom økosystem eller annen form for samhandling.
Aktører og behov
Innbyggere har behov for oversikt og informasjon for å forstå hvordan virksomhetene behandler og deler personopplysninger. En innbygger har en relasjon til mange offentlige virksomheter, og har et behov for en felles oversikt hvilke aktører som har hvilke kategorier av personopplysninger. Hvis innbygger bruker en sammenhengende tjeneste, trenger man å vite hvilke virksomheter som er behandlingsansvarlige for de enkelte delbehandlingene i tjenesten.
For virksomhetene vil tiltaket bidra til å oppfylle deres generelle informasjonsplikt etter personvernforordningen. For at oversikten skal kunne gi verdi, vil man være avhengig av en «kritisk masse» av bidrag fra offentlige virksomheter som er sentrale i behandlingen av personopplysninger, slik som Skatteetaten, NAV, helse og kommunesektoren.
Det vil også være relevant å inkludere virksomheter i privat sektor. Også i privat sektor forvaltes det blant annet registre som inneholder personopplysninger, men det er usikkert i hvor stor grad det er lagt til rette for gjenbruk og viderebruk. Se ellers tiltaket: Definere rammer og verktøy for behandlingsoversikter som omhandler innsamlingen av dataene fra virksomhetene.
Identifiserte virkninger av tiltaket
-
Tidsbesparelser for innbygger og virksomheter.
God oversikt kan oppfylle innbyggers behov for generell informasjon og forståelse rundt behandlingen av personopplysninger. En slik oversikt kan også redusere antall innsynsforespørsler, fordi en del innsynsforespørsler bunner i et ønske om bedre generell forståelse. Dette vil gi tidsbesparelser både for innbyggere og virksomheter. -
Økt tillit gjennom transparens og bedre kvalitet på informasjon.
Transparens i behandlingen av personopplysninger bidrar til å opprettholde og øke innbyggernes tillit til det offentlige. Tiltaket vil også bedre innbyggers evne til å kunne identifisere hvem de skal kontakte for å få oppfylt sin rett til innsyn. Dette sikrer også at informasjonen er troverdig, og at den kommer fra en autorativ kilde.
Hva må til for å komme i gang?
For å sikre at brukerbehovet er godt nok forstått, bør man gjennom en iterasjon utvikle en fungerende pilot for et oversiktlig område. Mulige kandidater kan være inntektsopplysninger eller en av livshendelsene. Første fase (piloten) vil kreve at man jobber sammen på tvers av Digitaliseringsdirektoratet og sektorer, og vil kunne være fornuftig gjennomførbart over et halvt års tid, med forbehold om av at tiltaket blir tilstrekkelig prioritert av sentrale miljøer.
Juridiske aspekter
Alle behandlingsansvarlige virksomheter må er må gi informasjon som beskrevet i personvernforordningen art. 13 og 14. Dette tiltaket vil bidra til at virksomhetene økt etterlevelse av informasjonspliktene. Se også vurdering under tiltaket Definere rammer og verktøy for behandlingsoversikter.
Avhengigheter
Tiltaket bygger på datagrunnlaget som er samlet inn under tiltaket Definere rammer og verktøy for behandlingsoversikter.
Tekniske aspekter
Tiltaket vil innebære en felles tilgjengeliggjøring. Det må sikres at man kan presentere virksomhetenes oversikter/kataloger på en slik måte at det er forståelig for brukeren. Det ligger kompleksitet i å gjøre innholdet forståelig og navigerbart for brukere (som har forskjellig utgangspunkt).
Kompleksiteten ligger i første rekke i behandlingen av datagrunnlaget. Det må sikres at tilstrekkelig mange virksomheter bidrar med sine oversikter på en slik måte at man kan tilby en sammenstilt oversikt forståelig for innbygger.
Det må utvikles og forvaltes en felles informasjonsmodell som sikrer at oversiktene kan sammenstilles. Her er erfaringer fra arbeidet med Felles datakatalog og andre fellesløsninger risikodempende med tanke på gjennomføring.
Teknisk sett tror vi at dette må løses med en hybrid tilnærming der en nasjonal løsning kan tilbys i tillegg til sektorenes egne løsninger. Enkelte virksomheter har god oversikt over utleveringer til og fra andre behandlingsansvarlige, samt behandlinger hos sine databehandlere. Her tror vi at grensesnitt må defineres teknisk og semantisk/API. For å få kontroll tror vi at data skal høstes sentralt slik at semantikkarbeid kan bygge på helheten. Andre har ikke systemstøtte for berikelse av dataene i behandlingsprotokollen. Derfor er det hos disse virksomhetene behov for en felles ressurs der den enkelte virksomhet kan vedlikeholde detaljert oversikt over personopplysningene de forvalter, for å understøtte bedre personvern for sine brukere.
Tiltaket kan innebære utvidelse av eksisterende løsninger (som ligger hos virksomhetene), ved å tilby muligheten for integrasjon med andre systemer.
Følgende aktiviteter må gjøres:
- Publisering av hvilke kategorier av personopplysninger virksomheten behandler
- Må gjøres som en del av «Orden i eget hus»-arbeid
- Sammenstilling av dataene på tvers av flere virksomheter, i en katalog, inkludert behandlingsprotokollene
- Felles datakatalog må tilby en informasjonsmodell eller utvide eksisterende slik at disse opplysningene kan struktureres.
- Det må utvikles integrasjonsgrensesnitt mot andre systemer som tilbyr innbyggerrettede tjenester, og som gjør det mulig å gjenbruke oversikten andre steder.
- Tilgjengeliggjøring av personopplysninger for bruker
- Det må utvikles en løsning som innbygger kan ta i bruk. Integrasjonene i punkt 2 brukes som grunnlag, og løsningen kan realiseres for eksempel i forbindelse med fellesløsninger som Altinn, norge.no, virksomhetens egne løsninger, eller inngå i en sammenhengende tjeneste.
Tiltak: Definere rammer og verktøy for behandlingsoversikter
For at innbyggerne skal få en oversikt over hvilke virksomheter som behandler personopplysninger om dem, trenger virksomhetene å strukturere og tilgjengeliggjøre informasjon knyttet til personopplysningene de behandler. Vi foreslår derfor å legge til rette for at virksomhetene kan dele strukturert informasjon i en felles behandlingsoversikt.
Oversikten bør inkludere behandlingsansvarliges bruk av personopplysninger man er pliktig til å dokumentere etter personvernforordningens art. 30, og den frivillige oversikten som mange virksomheter registrerer. Tiltaket er en forutsetning for å realisere tiltaket Tilgjengeliggjøre oversikt for innbygger.
Noen virksomheter har gode løsninger i dag, mens andre har ikke. Tiltaket er først og fremst for virksomhetene selv, men ved å gjøre oversikten «høstbar» vil man kunne understøtte en tilgjengeliggjøring på tvers av virksomheter, slik at innbygger kan dra nytte av sammenhengene. I tillegg vil en oversikt på tvers kunne bli et nyttig verktøy både i forbindelse med tilsyn, og som understøtter samhandling rundt innbyggeren når det gjøres vurderinger knyttet til bruk og utveksling av personopplysninger.
Dette tiltaket innebærer ikke nødvendigvis en felles registreringsløsning for alle, men personopplysningene som finnes i behandlingsoversiktene som brukes, må kunne gjøres tilgjengelig og være søkbare i en offentlig tilgjengelig oversikt. Selve registreringsløsningen kan altså være desentralisert, men vi må ha en felles modell for å kunne sammenstille informasjonen på tvers, og tilby en oversikt for dette.
Digitaliseringsdirektoratet tilbyr i dag i Felles datakatalog en behandlingsoversikt på virksomhetsnivå. Tilsvarende løsning finnes hos KS (Digiorden), og hos enkelte store virksomheter som NAV og Statens vegvesen. Kan disse oversiktene snakke sammen, slik at innbygger opplever sammenheng?
Aktører og behov
Offentlige virksomheter med behandlingsansvar for personopplysninger har behov for å holde oversikt over alle behandlinger av personopplysninger i virksomheten. Dette er også en plikt etter personvernforordningen for alle større virksomheter.
Virksomheter med behandlingsansvar i privat sektor er pålagt de samme kravene til protokoll etter personvernfororningen art. 30, og vi ser ingen større hindre for at privat sektor kan bruke en slik løsning, selv om dette bør undersøkes videre i forbindelse med en eventuell iverksetting av tiltaket. Det må også vurderes hvilke insentiver privat sektor kan ha for å tilknytte seg en slik løsning. Dette kan for eksempel være enklere oppfyllelse av lovkrav, bedre oversikt over sine behandlingsaktiviteter, samt enklere tilgjengeliggjøring.
Identifiserte virkninger
- Økt tillit og transparens.
Tiltaket skal hjelpe virksomhetene til å etterleve plikten til å føre protokoll og informasjonspliktene jf. PVF art. 30, art. 13 og art. 14 oppfylle lovkravet om protokoll, og samtidig understøtte innbyggernes behov for generell informasjon og oversikt. Behandlingsoversikten inneholder potensielt verdifulle data, og dette tiltaket vil legge til rette for å kunne ta ut denne verdien. - Tids- og kostnadsbesparelser for behandlingsansvarlige virksomheter og enklere innhenting og utlevering av dokumentasjon i forbindelse med tilsyn.
- Økt datakvalitet.
Gjennom utvidelse av protokoll til behandlingsoversikt, samt offentlig tilgjengeliggjøring av denne, kan vi forvente at informasjonselementene i større grad holdes oppdatert hos virksomheten.
Hva må til for å komme i gang?
Grunnlaget finnes i mange virksomheter, men det må likevel gjøres en jobb på informasjonsmodellering og teknisk integrasjon. Dette vil også forutsette noen grad av organisatorisk overbygning og et tydelig mandat.
Det kan hende at man trenger sektorspesifikke eller virksomhetsspesifikke utvidelser av funksjonalitet og informasjonsmodell, derfor bør miljøet som jobber med informasjonsforvaltning nasjonalt i Digitaliseringsdirektoratet få eierskap til informasjonsmodellen.
Juridiske aspekter
Personvernforordningens art. 30 pålegger nesten alle behandlingsansvarlige og databehandlere å føre en protokoll over de behandlingsaktivitetene de utfører. Protokollen skal bidra til kontroll, oversikt og dokumentasjon over egen behandling. Art. 30 bestemmer hvilke opplysninger protokollen som minimum må inneholde. Mye overlapper med kravet til å gi de registrerte informasjon etter art. 13 og 14, typisk gjennom en personvernerklæring, selv om denne plikten er noe mer omfattende. Personvernforordningen pålegger ikke virksomhetene å offentliggjøre protokollen for andre enn Datatilsynet. Protokollen vil være et dokument etter offentleglova, som alle og enhver kan kreve innsyn i. Hver virksomhet må selv vurdere om vilkårene for unntak og eventuell meroffentlighet skal praktiseres. Offentleglovas system legger opp til at innsyn skal gis på forespørsel, og krever ikke at virksomheten åpent skal publisere dokumentene det gis innsyn i.
For at de aktuelle tiltakene skal fungere etter hensikten, vil det være nødvendig at alle offentlige virksomheter faktisk registrerer nødvendige opplysninger i et standardisert format og tilgjengeliggjør disse. Erfaringer fra Felles datakatalog viser at selv om Digitaliseringsrundskrivet pålegger statlige virksomheter (og anbefaler kommuner) å registrere datasett, så tar dette tid. Det var ved årsskifte 2018/2019 kun ca. 20 prosent av statlige virksomheter som hadde publisert minst ett datasett i katalogen. Dersom tiltaket skal gjennomføres, bør det derfor vurderes nærmere hvordan en slik praksis kan sikres, herunder om en plikt til å ha oppdaterte beskrivelser om persondata i en felles katalog kan og bør lov- eller forskriftsreguleres.
Avhengigheter
Dette tiltaket må sees i sammenheng med tiltaket: Tilgjengeliggjøre oversikt for innbygger.
Tekniske aspekter
I Felles datakatalog er det påbegynt arbeid med en enkel behandlingsoversikt for offentlige virksomheter. Tilsvarende løsninger finnes hos KS (Digiorden), og hos enkelte store virksomheter som NAV og Statens vegvesen. Den tekniske realiseringen har lav kompleksitet.
Følgende aktiviteter må gjøres:
- Felles informasjonsmodell for behandlingsoversikt må utvikles.
- Denne må ta høyde for samhandling med sektorspesifikke utvidelser.
- Det må utvikles funksjonalitet som er egnet for å tilgjengeliggjøre innholdet i behandlingsoversikten.
- Felles informasjonsmodell skal sikre at alle virksomheter bruker samme måte å strukturere behandlingsoversikten på.
- Det må tilbys standardiserte integrasjonsgrensesnitt som en del av løsningenfor å sikre tilgjengeliggjøring.
- Det bør tilbys en felles registreringsløsning for behandlingsoversikt som kan benyttes av de som ikke har dette selv.
Innsatsområde 2: Veiledning og innsyn for innbygger
Innsyn etter personopplysningsloven kan oppleves vanskelig og uklart. Vi foreslår tre tiltak som skal støtte innbyggere og virksomheter til å forstå og bruke retten til å kreve innsyn.
Dagens innsynspraksis preges av store ulikheter. Innsyn etter personvernforordningen er i dag gjerne en manuell prosess, hvor det ofte er mye rom for skjønn og ulike tolkninger av både innsynsforespørslene og innholdet i innsynet.
Innbyggerne har i dag en rett til å kreve innsyn i egne personopplysninger etter personvernfordningens art. 15, og alle virksomheter plikter å behandle kravene de mottar. For en innbygger kan det være vanskelig å få et helthetlig bilde, nettopp fordi personopplysningene er spredt på tvers av så mange ulike virksomheter. Arbeidet vårt har også vist at hverken innbyggere eller virksomheter alltid har et klart forhold til hvilket regelverk det søkes innsyn etter.
Innsiktsarbeidet har vist at en fullskala innsynsløsning ikke er innenfor dagens mulighetsrom. En felles løsning for innsynsforespørsler, koblet til en smart veileder, vil imidlertid kunne utgjøre et første steg i den retning, samtidig som den tar hensyn til dagens modenhetsnivå og kapabiliteter innenfor feltet.
En slik løsning vil kunne bygge på en beste praksis for å ivareta innbyggerens behov underveis i prosessen. Dette vil gi innbyggeren en felles inngang, hvor man gjennom en tjeneste gir innbyggeren mulighet til å sende innsynsforespørsler til en eller flere virksomheter, basert på innbyggerens valg.
Dersom en innbygger ber om innsyn i sine personopplysninger, hvilke verktøy og hvilke rutiner har virksomheten for å kunne svare på denne forespørselen? Hvordan kan for eksempel en kommune koble sammen informasjon om skolegangen din med andre opplysninger fra for eksempel barnevern eller kommunehelsetjeneste for å kunne gi deg en samlet oversikt over dine opplysninger? Gjennom erfaringsutveksling ønsker vi å stimulere til kompetanseheving, gjenbruk av gode løsninger og en beste praksis på tvers av virksomheter.
Det er i dag mange ulike løsninger for veiledning til innbygger. I mange virksomheter har man veiledning indirekte gjennom løsninger i form av spørreskjema, der det konkret blir spurt om hva rettighetshaver er ute etter, og hva som er bakgrunnen for forespørselen. Det finnes også hos Datatilsynet en «statisk veileder» som uten å bruke personopplysninger kan fortelle om den registrertes rettigheter og hvordan virksomhetene er pålagt å oppfylle dem, for eksempel hvor lang tid det skal ta, og begrunnelser. Det er også emnespesifikke veiledere for helseopplysninger, treff i søkemotorer og andre forhold koblet til særlovgivning.
Virksomhetene opererer med ulike former for innsynsløsninger når de skal svare ut innsynskrav. Det være seg manuelle prosesser, selvbetjente via egne nettsider eller ulike skjemaløsninger med varierende grad av systemstøtte. Det er i dag få virksomheter som har en selvbetjent innsynsløsning for personopplysninger. Disse løsningene gir stort sett innsyn i opplysninger som ligger i mer formelle registre, og går ikke så langt som innsyn etter personvernforordningen tilsier. Personopplysninger som er registrert i for eksempel e-poster eller historiske data, kan det være mer krevende å gi innsyn i. Det er også et stort spenn i hvilke typer forespørsler virksomhetene mottar. Dette gjør det krevende å utvikle en løsning som kan svare på innbyggernes sammensatte behov knyttet til egne personopplysninger.
Innsyn etter personopplysningsloven bør heller ikke sees fullstendig isolert fra andre typer innsyn som virksomhetene tilbyr. Innsiktsarbeidet vårt har avdekket at innbyggeren ikke nødvendigvis har innsikt i lovverket og sine rettigheter. Innbygger vet hvorfor de trenger opplysningene, men ikke nødvendigvis hvilke opplysninger de egentlig har behov for, eller hvilket innsyn de da må be om. En slik veileder skal bistå innbyggeren med å oppfylle sine rettigheter innenfor dette området, i kontekst av sine behov og sin situasjon. Veilederen bør se rettighetene i personvernforordningen i sammenheng med andre rettigheter som innbyggeren har som for eksempel partsinnsyn, for å sikre at det innsynet som gis, er det innbygger har behov for.
Videre bør innsyn også ses i sammenheng med andre relevante rettigheter personvernforordningen gir. Særlig relevant i denne sammenheng er retten til retting og sletting. Flere av aktørene i innsiktsarbeidet har pekt på at innsynets verdi øker betraktelig dersom det også tilrettelegges for at den registrerte enkelt kan kreve at opplysninger rettes eller slettes i forbindelse med innsynet.
Åpenhet rundt virksomheters behandling av personopplysninger, vil kunne redusere behovet for innsyn etter personopplysningsloven. Forhåndsutfylt skattemelding kan nevnes om et eksempel på en tjeneste hvor innsyn tilbys som en del av tjenesten, og som gir stor verdi for innbygger, selv om løsningen ikke oppfyller alle kravene i personopplysningsloven.
Retten til å kreve innsyn etter personvernforordningen er lik for alle virksomheter som faller inn under regelverkets anvendelsesområde. Likevel er det store forskjeller mellom virksomhetene når det kommer til de registrerte innbyggernes opplevelse, virksomhetenes kostnader, ansvarsfordeling og grad av digitalisering i behandlingen av innsynsforespørsler. Økt grad av standardisering kan hjelpe både virksomhetene og innbyggerne.
Hva kan resultatet bli?
- Som innbygger vil jeg få god veiledning uavhengig av hvilken virksomhet jeg henvender meg til, tilpasset meg eller min situasjon. Jeg forstår hvilke rettigheter jeg har, og hvordan jeg skal gå frem for å få utført innsyn og kontroll. Jeg får hjelp til å forstå de ulike innsynsrettene som finnes, slik at jeg kan vurdere hvilke type innsyn som vil best vil dekke mitt behov.
- Som virksomhet vil jeg bruke mindre tid på manuell tolkning av innsynsforespørselen som følge av at kvaliteten på denne har økt.
- Virksomhetene vil kunne gjenbruke felles løsning for både innsynsforespørsler og utlevering av resultatet av innsynet på en sikker måte. Dette kan også fremme standardisering og samhandling rundt innbyggeren i sammenhengende tjenester.
- Som innbygger vil jeg kunne oppleve at det å kreve innsyn oppleves som mer sammenhengende uansett hvilken tjeneste jeg spør i relasjon til, eller hvilken aktør jeg forholder meg til.
- Som virksomhet vil man kunne bruke beste praksis og lære fra andre.
Tiltak: Utvikle en løsning som gjør det enklere å be om innsyn
For en innbygger er det ikke nødvendigvis gitt hvor man skal henvende seg eller hvilken type innsyn som passer best for situasjonen. Dette tiltaket foreslår å samle veiledning og muligheten til å be om innsyn på ett sted, for å gjøre det lettere for innbyggerne.
Ved å kombinere veiledning med en løsning for å sende innsynsforespørsler hjelper vi den enkelte bruker med deres konkrete behov. Denne kan basere seg på fellesløsninger og sektorløsninger i kombinasjon.
Veileder
I sin enkleste form er tiltaket en generell veileder med klarspråk, som hjelper innbyggerne til å forstå sine rettigheter, og viser hvordan de kan gå frem for å kreve innsyn. Innsiktsarbeidet vårt har avdekket at innbyggeren ikke nødvendigvis har innsikt i lovverket og sine rettigheter. Veilederen bør se rettighetene i personvernforordningen i sammenheng med andre rettigheter som innbyggeren har, som for eksempel partsinnsyn, for å sikre at det innsynet som gis, er det innbygger har behov for.
Veilederen kan deles opp i ulike tema ut fra innbyggers kontekst, og kan videreutvikles til en «smart veileder» bak innlogging for å gi enda bedre og mer spisset veiledning. Veilederen bistår innbyggeren med å oppfylle sine rettigheter innenfor et område, i kontekst av behov og situasjon. En veileder vil kunne gjenbruke og gjøre oppslag mot katalogtjenester og oversikter som inneholder informasjon om hvilke personopplysninger som finnes hvor.
En slik løsning vil kunne tilby spisset veiledning mot spesifikke sektorer, forvaltningsnivåer eller andre konstellasjoner, slik som i sammenhengende tjenester. For livshendelsen «Dødsfall og arv» er flere ulike virksomheter aktuelle, blant annet kommuner, NAV, Skatteetaten, Domstoladministrasjonen, bank, forsikring og gravferdsbyråer.
Løsning for å be om innsyn
For å forenkle situasjonen for innbygger kan løsningen utvikles til å gi relevant informasjon og veiledning samt understøtte innsynskrav. Tjenesten vil da gjøre det enkelt for innbygger å be om innsyn ved å henvende seg ett sted, og dermed kunne søke innsyn i det man faktisk behøver innsyn i, på tvers av virksomheter. Som innbygger vil jeg kunne sende innsynskrav til rett virksomhet, og få svar på en sikker og forutsigbar måte.
En slik løsning vil kunne koble seg opp mot løsninger i sektorene og virksomhetene som understøtter deres prosesser, for å samle og utlevere personopplysninger. Løsningen støtter i utgangspunktet dagens mottak av innsynskrav hos den enkelte virksomhet, men kan på sikt gradvis utvides til automatiserte oppslag, avhengig av innbyggernes behov og virksomhetenes evner til dette.
Aktører og behov
Tiltak understøtter innbyggers behov for og rettighet til innsyn i egne personopplysninger. Vårt innsiktsarbeid har også vist at innbyggere har behov for bedre informasjon og veiledning knyttet til innsyn i egne personopplysninger.
Tiltaket understøtter også virksomhetenes behov for en beste praksis knyttet til innsyn, ettersom en dynamisk veileder og tilknyttet innsynsforespørselsløsning vil kunne være basert på en slik beste praksis, som dermed kommer virksomhetene til gode.
En smart veileder vil også kunne være aktuell i privat sektor, hvor innbygger også her har behov for informasjon om sine rettigheter, hvem som har ulike typer personopplysninger, og hvor man skal henvende seg. For virksomhetene kan det gi mer spissede forespørsler, som er effektivt og tidsbesparende å behandle for virksomhetene, og hvor de bedre kan møte innbyggers behov.
Identifiserte virkninger
-
Økt sikkerhet og tillit.
Innbyggerne får hjelp til å be om det man faktisk trenger. Det blir lettere å finne ut hvor man skal henvende seg, og forstå hvilke rettigheter man har. Skjerming av innsynskrav gir også økt sikkerhet og tillit. -
Mer effektive prosesser og redusert tidsbruk for både virksomhetene og brukere.
En felles løsning gir mulighet for erfaringsutveksling og kvalitetssikring mellom virksomhetene. Ved å ha en felles inngang og kontaktpunkt blir det også lettere å be om innsyn på tvers av virksomheter, og det blir lettere for virksomhetene å overholde frister for utlevering. Samtidig vil god veiledning gir bedre kvalitet på innsynsforespørsler.
Hva må til for å komme i gang
Gitt dette tiltakets omfang og kompleksitet med mange avhengigheter bør det benyttes en smidig gjennomføringsmodell. I første omgang gjennom en konseptfase for å detaljere tiltaket ytterligere for å berede grunnen for en eventuell gjennomføringsfase. Dette arbeidet kan gjerne gå hand i hand med små piloter for å høste erfaringer og prøve ut konsepter.
Juridiske aspekter
Dette tiltaket innebærer blant annet behandling av personopplysninger og mulig bruk av kunstig intelligens. Dersom tiltaket skal gjennomføres, må de juridiske problemstillingene, som f.eks. om det foreligger et gyldig behandlingsgrunnlag, avklares, og hvorvidt pvf. art. 22 kommer til anvendelse dersom en slik løsning er fullautomatisert, eventuelt profilerer brukerne. Det antas at de juridiske vurderingene som er gjort i forbindelse med utredning av Digital assistent, også vil være relevant her.
Tiltaket kan bistå offentlige virksomheter med lovpålagt veiledning, jf. fvl. § 11.
Tiltaket krever sikker identifisering av innbygger, pvf. art. 12 nr. 2, og innebærer dermed behandling av personopplysninger, jamfør pvf. art. 4 nr. 1. Dersom tiltaket skal gjennomføres, må det utføres en konkret vurdering av blant annet om det foreligger et gyldig behandlingsgrunnlag. Denne vurderingen vil være avhengig av hvem som vil være behandlingsansvarlig for løsningen.
Personopplysningsloven § 16 oppstiller unntak for retten til innsyn etter pvf. art. 15. En veilednings- og innsynsløsning må derfor ivareta virksomhetenes behov for å unnta personopplysninger fra et innsyn. Antageligvis må den enkelte behandlingsansvarlig vurdere i hvor stor grad det er mulig å gjøre vurderinger knyttet til hvilke opplysninger som skal unntas innsynet på forhånd, eller om dette må gjøres manuelt i den enkelte sak.
Avhengigheter
Tiltaket må sees i sammenheng med innsatsområdet Oversikt over personopplysninger. En smart veileder må bruke informasjon om offentlige virksomheter og hvilke personopplysninger de forvalter, for å kunne bistå innbyggeren i prosessen.
Teknisk aspekter
Det kan tas utgangspunkt i konseptet «Digital assistent» i dette tiltaket. Tiltaket skisserer ulike nivåer av funksjonalitet og personlig tilpasning. Fra en enkel veiledningsløsning til en mer smart løsning som videreutvikles kontinuerlig. En innlogget tjeneste, eventuelt også med profilinformasjon, vil øke kompleksiteten.
Løsningen må være gjenbrukbar, slik at den kan realiseres i samspill med sektorens egne løsninger og tjenester. I tillegg kan dette knyttes tett til eksisterende løsninger, som for eksempel Altinn eller Norge.no. I Altinn er det for eksempel ferdig støtte for innlogging via ID-porten, tilgangsstyring, arbeidsflyt, oppslag i datakilder og en brukerflate.
Løsningen vil tilby informasjon til innbygger fra blant annet oversiktene Innsatsområde 1, så den er avgrenset til hva slags type informasjon som finnes og hvor. Løsningen vil kunne resultere i et ferdig komponert innsynskrav som sendes til riktig virksomhet digitalt. Den vil også kunne dekke behovet for at man kan be om innsyn på andres vegne, som for eksempel egne barn eller noen man er verge for.
Tiltak: Stimulere til deling av erfaringer og løsninger
I arbeidet med denne utredningen har vi sett mange eksempler på gode løsninger, veiledning og praksis knyttet til å skape godt personvern. Flere av de tiltakene vi foreslår, er allerede iverksatt hos enkeltvirksomheter og sektorer, men kan være til nytte for flere. Vi foreslår derfor å stimulere til økt kompetansedeling, erfaringsutveksling og gjenbruk av tekniske løsninger på tvers av sektorene ved å etablere en "beste praksis".
Det europeiske personvernrådet (EDPB) publiserer veiledende uttalelser om hvordan personvernforordningen bør tolkes. Forslag til retningslinjer for innsyn i egne personopplysninger har vært på høring. Når retningslinjene foreligger, vil disse danne et naturlig utgangspunkt for videre arbeid. Samtidig er det behov for retningslinjer som i en del tilfeller er mer konkrete enn det EDPB tilbyr.
Offentlige myndigheter må understøtte en tjenesteutvikling som mer proaktivt ivaretar de registrertes behov for innsyn og kontroll. Som ledd i dette arbeidet foreslår vi også å utvide eksisterende veiledere som nasjonale arkitekturprinsipper og veilederen for sammenhengende tjenester med innsyn etter personopplysningsloven. Verktøykassen for deling av data bør også utvides. Vi foreslår dessuten å utvide veilederen for «orden i eget hus» med aktiviteter for kartlegging av personopplysninger.
Digitaliseringsdirektoratet har en veileder for internkontroll i praksis. En mulighet kan være å utvide denne veilederen til også å dekke personvernområdet, slik det er gjort i normen som er utviklet i helsesektoren.
Innebygd personvern er et krav i personvernforordningen (art. 25), og betyr at det skal tas hensyn til personvern i utviklingen av et system eller en løsning. Dette skal sørge for at informasjonssystemene oppfyller rettighetene til man ivaretar de registrertes rettigheter. Likevel kan det i en del tilfeller være slik at etterlevelse av regelverk i seg selv ikke innfrir de faktiske behovene innbygger har. Utvikling av en beste praksis vil kunne bidra til å gjøre dette gapet mindre. Datatilsynet har en veileder for programvareutvikling med innebygd personvern, men denne omtaler i liten grad hvordan retten til innsyn kan bygges inn i systemene.
I Norge er Datatilsynet tillagt både en tilsyns- og en ombudsrolle. Balansegangen mellom disse rollene kan være utfordrende. Dette kommer særlig til syne når virksomheter, som også er selvstendige behandlingsansvarlige og dermed også mulige tilsynsobjekter, har behov for konkret veiledning i personvernrettslige spørsmål. I tillegg kan det være behov for veiledning som krever sektor- eller domenekunnskap som Datatilsynet ikke kan forventes å besitte. Andre aktører kan med fordel ta en større rolle for å understøtte en utvikling som mer proaktivt ivaretar de registrertes behov for innsyn og kontroll. Det er viktig at kompetanse rundt personvern spres på flere miljøer og virksomheter enn idag.
Aktører og behov
Offentlige virksomheter vil omfattes av dette tiltaket, som vil understøtte virksomhetenes behov for tydeligere retningslinjer rundt innsyn. Tiltaket vil også kunne understøtte virksomhetenes behov for oversikt og kontroll over personopplysninger som forvaltes i virksomheten.
Relevante aktører i privat sektor bør inkluderes arbeidet. Erfaringsutveksling på tvers av private og offentlige aktører sikrer at man “lærer av de beste”.
Datatilsynets veileder er i utgangspunktet felles for privat og offentlig sektor, mens øvrige nevnte veiledere er rettet mot offentlige virksomheter.
Det er naturlig at Datatilsynet, sammen med andre offentlige virksomheter, har en sentral rolle i dette arbeidet. Ansvaret for etterlevelse ligger i den enkelte virksomhet. Derfor må det gjennom bred involvering og samarbeid sikres at innholdet er relevant og på riktig nivå.
For å sikre at innbyggers behov blir tilstrekkelig ivaretatt, bør også relevante interesseorganisasjoner og andre interessenter involveres i arbeidet.
Identifiserte virkninger
- Bedre personvern
- Tids- og kostnadsbesparelser hos virksomhetene
- Høyere kvalitet og effektivitet i utførelse av innsyn
Virksomhetene vil lære av hverandre og dele kompetanse og erfaringer. Ved å gjenbruke gode ideer og løsninger vil man kunne spare tid og ressurser og levere høyere kvalitet på utførelsen av innsyn.
Tiltaket vil kunne sikre at innebygd personvern er ivaretatt i ulike deler av digitaliseringsarbeidet.
Hva må til for å komme i gang
Tiltaket anses å ha lav kompleksitet, og kan iverksettes ved å gi en aktør mandat til dette. De som "eier" eksisterende veiledere, må involveres i videre arbeid.
Juridiske aspekter
Ingen juridiske implikasjoner. (Foreslåtte) retningslinjer for innsyn fra EDPB må hensyntas og innarbeides i tiltaket.
Avhengigheter
Dette tiltaket kan berøre arbeid med de andre tiltakene.
Tekniske aspekter
De fleste veiledere er fleksible når det gjelder å få inn nytt innhold, og personvern er allerede en del av disse. Det å konkretisere innholdet ytterligere slik at «innebygget personvern», særlig med tanke på å støtte innsyn, kan gi stor verdi i utviklingen av nye løsninger.
Tiltak: Etablere en standard for innsyn
Virksomheter opplever i dag at de har mange systemer som ikke fullt ut understøtter personvern generelt og innsynsretten spesielt. Vi foreslår å etablere en standard for hvordan virksomhetenes systemer håndterer innsyn.
Tiltaket vil gjøre offentlige virksomheter bedre i stand til å ivareta innsyn, for eksempel ved å tilrettelegge for at innsyn ivaretas ved utvikling eller ved innkjøp av nye systemer. Eksempelvis kan krav til innebygd innsyn formidles gjennom Statens standardavtaler og slik bidra til økt bevissthet og økt bestillerkompetanse. Tiltaket kan også stimulere leverandørmarkedet til å satse på godt personvern i større grad.
En standard for hvordan systemer skal understøtte innsyn, har til hensikt å gjøre det mulig for virksomhetene å tilgjengeliggjøre og sammenstille informasjon fra ulike systemer og tjenesteområder, og fremstille disse for innbyggeren.
Gjennom en standard (eller andre former for normering) kan man lettere sikre at systemer som utvikles i egen regi eller kjøpes i markedet, har tilstrekkelig evne til å tilby innsyn i personopplysninger. Dette tiltaket kan også bidra til å gjøre det enklere for virksomhetene å bytte system.
Aktører og behov
Offentlige virksomheter vil påvirkes som behandlingsansvarlige for personopplysninger og eier av fagsystemer. Tiltaket vil understøtte virksomhetenes behov for kontroll over egne fagsystemer og for standardisering av systemstøtte for innsyn. Dette for å kunne tilby innbyggerne innsyn i personopplysninger på tvers av systemer og på sikt på tvers av virksomheter.
En eventuell endring i Statens standardavtaler må vurderes nærmere av DFØ som er eier/forvalter av avtaleverket. Offentlige virksomheter vil påvirkes som brukere av Statens standardavtaler.
Dersom en slik standard legges til grunn ved innkjøp, gjennom Statens standardavtaler, vil private aktører indirekte bli påvirket gjennom avtaler som inngås med offentlig sektor. Private IKT-leverandører som leverandører av systemer eller tjenester, inkludert eventuell rolle som databehandlere, kan måtte etterleve standarden. Leverandører vil dermed få nye krav og kostnader knyttet til implementering. Samtidig vil leverandører som kan oppfylle de nye kravene, få et konkurransefortrinn ved å tilby dette.
Dersom standard også blir gjeldende for privat sektor, vil det kunne gi økt kvalitet når innsyn gis, ved at felles standarder medfører at aktørene behandler innsyn mer likt – hvor det i mindre grad blir preget av skjønn og ulike tolkninger ved behandling. Mange private aktører sitter på mengder av data som også kan gi nytte for andre.
Identifiserte virkninger
- Tidsbesparelser og reduserte kostnader for behandlingsansvarlige virksomheter og innbyggere
-
Økt kvalitet og effektivitet på innsynstjenester
-
Økt bestillerkompetanse i virksomhetene
Tiltaket vil føre til at virksomhetene blir bedre i stand til å oppfylle sine forpliktelser. Samtidig vil innbyggere få dekket sine rettigheter på en bedre måte.
Tiltaket vil på sikt redusere kostnader for de behandlingsansvarlige, samt gi økt kvalitet. Det vil også bidra til en mer strukturert tilnærming til hvordan innebygd personvern løses hos virksomhetene. Å sammenstille og gi innsyn i personopplysninger vil bli enklere, samtidig som leverandørene vil ha et insentiv for å bygge inn personvern i løsningene.
Avhengig av standarden som etableres vil det kunne oppstå kostnadsvirkninger knyttet til implementering for systemleverandører.
Tiltaket vil styrke bestillerkompetansen i virksomhetene, og gjøre det enklere å legge til rette for ansvarlig bruk og behandling av personopplysninger.
Hva må til for å komme i gang
For dette tiltaket er en trinnvis tilnærming nødvendig. Riktig grad av normering må avklares i samråd med virksomhetene. Arkitektur- og standardiseringsrådet bør kunne ta ansvar for dette arbeidet.
Juridiske aspekter
Tiltaket kan bidra til at de behandlingsansvarlige virksomhetene etterlever kravet om innebygget personvern etter art. 25 og øke kvalitet når innsyn etter art. 15 gis. Tiltaket har ellers ingen juridiske implikasjoner. Det bør også vurderes om krav til en slik standard skal inntas i IT-standardforskriften.
Det finnes flere standardavtaler som dekker ulike typer anskaffelser. Det finnes i dag som et utgangspunkt et generelt krav til innebygget personvern i SSA-S pkt. 9.3 Personopplysninger, men dette er nokså generelt, og dekker ikke det som beskrives i det foreslåtte tiltaket.
Statens standardavtaler brukes i utgangspunktet kun av offentlige sektor. Det kan være aktuelt å se på tilsvarende tiltak rettet mot ulike kontraktstandarder som brukes i privat sektor, for eksempel PS2000 eller andre.
Avhengigheter
En standard vil understøtte tiltaket Utvikle en løsning som gjør det enklere å be om innsyn. En standard kan også være relevant for tiltakene Tilgjengeliggjøre oversikt for innbygger og Definere rammer og verktøy for behandlingsoversikter.
Teknisk aspekter
En felles standard vil muligens ikke være relevant for enkelte fagsystem, fordi det er stor variasjon i skjermingsbehov og kategorier av personopplysninger i ulike sektorer og virksomheter. Det vil derfor antageligvis være behov for bred involvering av aktører, både fra offentlig og privat sektor i utforming og forankring av en slik standard.
Innsatsområde 3: Kontroll over egne personopplysninger
Personvernbegrepet refererer ikke bare til vernet av privatlivets fred og den enkeltes personlige integritet. Begrepet innebærer i stor grad også vernet av enkeltpersoners rett til å ha innflytelse på bruk og spredning av personopplysninger om seg selv. Vi skal i størst mulig grad kunne bestemme over egne personopplysninger.
I oppdragsbrevet fra departementet går det fram at man med kontroll over egne personopplysninger mener:
muligheten til å benytte rettighetene som følger av personopplysningsloven og personvernforordningen, slik som rett til retting eller sletting, og muligheten til å samtykke til deling og viderebehandling av personopplysninger hos nye behandlingsansvarlige og/eller for nye formål og ev. senere til å trekke dette samtykket tilbake.
Innsatsområde 3 omhandler siste del av sitatet over. Selv om dette innsatsområdet ikke direkte relaterer seg til innsyn etter personvernforordningen, kan likevel tiltaket bidra til at de øvrige rettighetene innbygger har slik som retten til å protestere, korrigere eller be om sletting understøttes. Disse rettighetene synes det naturlig å integrere i innsynsprosessen, og bør derfor ses i sammenheng med innsatsområdet Veiledning og innsyn for innbygger.
Det skiller seg fra de øvrige innsatsområdene ved at formålet er økt innflytelse over egen bruk av hvordan egne personopplysninger brukes, og ikke kontroll med offentlige virksomheters bruk av egne personopplysninger. Tiltakenes formål er snarere å gi den registrerte tilgang til egne opplysninger for viderebruk, heller enn innsyn i egne opplysninger.
"Samtykkebasert lånesøknad" er et eksempel på slik viderebruk ved at lånesøkere gir banken fullmakt til å innhente opplysninger om inntekt, formue og gjeld fra det offentlige til bruk i kredittvurderingen. Ved å sette et enkelt kryss i lånesøknaden gir kunden banken fullmakt til at det innhentes uttrykkelig angitte inntektsopplysninger fra Skatteetaten for å kunne vurdere lånesøknaden.
Nordisk ministerråds visjon er at Norden skal bli verdens mest bærekraftige og integrerte region fram mot år 2030. Som del av denne visjonen skal de nordiske næringsministrene støtte nye innovasjoner i helsesektoren ved å legge til rette for at ulike aktører i bransjen skal få tilgang til helsedata fra hele Norden.
Koronapass er en annen løsning som tillater innbyggeren å dele sin koronastatus med andre, enten ved å inspisere sertifikatet eller å scanne en QR-kode.
Denne type viderebruk av personopplysninger krever digitale tillitstjenester som ivaretar krav til samtykke og fullmakt. Det er derfor viktig å videreføre og sikre nasjonal koordinering av arbeidet med representasjonsforhold, fullmakter, og samtykker for innbyggere gjennom det eksisterende arbeidet med Tillitstjenesteområdet hos Digitaliseringsdirektoratet.
Hva kan resultatet bli?
- Som innbygger vil jeg kunne få tilgang til opplysninger det offentlige har om meg, slik at de kan brukes til andre formål. Det er også mulig at innbygger i økt grad kan korrigere og oppdatere opplysninger i noen tilfeller.
- Virksomheter vil kunne innhente opplysninger digitalt via den registrerte, som er av god kvalitet, og som kommer fra en autoritativ kilde.
Tiltak: Definere og gi innbygger tilgang til "Mine kjerneopplysninger"
Vi foreslår å definere et sett med kjerneopplysninger som innbygger har varierende grad av råderett over. Det kan for eksempel være førerkort, vitnemål, inntektsopplysninger, kontaktinformasjon, fullmakter og andre sentrale personopplysninger som er nyttige for innbygger i sin hverdag.
Tiltaket kan knyttes til arbeidet med innføring av det nye eIDAS-regelverket og EU sin digitale lommebok (wallet) for ID og forskjellige typer bevis som gir enklere tilgang til offentlige og private digitale tjenester.
Viderebruk av opplysninger gjennom samtykke kan gjøre det mulig for private aktører å bruke personopplysninger hentet fra det offentlige på en god og sikker måte. Slik viderebruk kan bidra til å sikre at kun det som trengs for den spesifikke saken, blir samlet inn. Samtykkebasert lånesøknad gir eksempelvis banken kun tilgang til de opplysningene som trengs for å behandle lånesøknaden, og ikke en kopi av hele skattemeldingen. Løsningen er på den måten positiv med tanke på dataminimering.
På den andre siden reiser tiltak som understøtter slik viderebruk, en rekke spørsmål rundt hvordan vi kan dele personopplysninger på en ansvarlig måte. I hvor stor grad kan vi forvente at innbygger forstår implikasjonene ved å dele opplysningen. Hvis dette blir en utbredt praksis, er det også et relevant å stille noen spørsmål:
- I hvor stor grad kan innbygger forventes å ha oversikt over alle delinger og formål, slik at innbyggers kontroll med egne opplysninger er reell og ikke formell?
- I hvor stor grad er det det offentliges ansvar å legge til rette for innbyggernes digitale selvråderett?
- Hvis det offentlig eksempelvis legger til rette for å dele sensitive helseopplysninger med ulike foretak, hvilket ansvar påligger det offentlige for å sikre at innbyggerens interesser blir ivaretatt?
Ved å definere et sett med kjerneopplysninger kan vi prøve ut tjenester som gir økt selvråderett på en kontrollert måte, og som samtidig reduserer personvernrisikoen knyttet til tiltaket. Samtidig kan vi høste erfaringer rundt hvilke positive og negative konsekvenser dette har for innbyggeren, virksomhetene og for samfunnet.
Aktører og behov
Tiltaket understøtter innbyggers behov for å kunne viderebruke egne personopplysninger til nye formål.
Noen offentlige virksomheter vil måtte tilrettelegge for viderebruk av personopplysninger, avhengig av hvilke opplysninger som defineres inn som kjerneopplysninger.
Private virksomheter vil kunne være både tilbyder og mottager av personopplysninger fra innbyggerne gjennom deres bruk av tjenester.
Identifiserte virkninger
-
Tidsbesparelser for virksomheter og innbyggere
-
Økt data- og tjenestekvalitet
-
Økt verdiskapning gjennom viderebruk av personopplysninger
Innbyggerne vil få mulighet til å viderebruke sine opplysninger. Det kan åpnes for at innbygger selv oppbevarer noen opplysninger som innbygger får råderett over. Samtidig vil virksomhetene kunne tilby at innbygger selv kan dele opplysninger fra en kilde som gir trygghet for at opplysningene er riktig, for eksempel ved hjelp av attesterte attributter. Det er også mulig å tilby at innbygger enkelt kan initiere retting, og i noen tilfeller selv endre, opplysninger. Samlet sett vil dette gi tidsbesparelser for både virksomheter og innbyggere, samt at det gir muligheter for å lage flere verdiskapende tjenester for brukerne.
Dette tiltaket åpner for at også behandlingsansvarlige virksomheter i privat sektor kan gi innbyggerne økt innsyn i og råderett over egne personopplysninger innenfor tydelige rammer.
Hva må til for å komme i gang
Arbeidet med digital lommebok er allerede i gang, og kan være en naturlig driver på dette området. Førerkort og vitnemål er allerede inkludert i EUs arbeid og virkemidler knyttet til utviklingen av lommeboka.
Kjerneopplysninger som det vil gi stor verdi å tilgjengeliggjøre, må identifiseres av virksomhetene selv. Videre må disse defineres, og dette må understøttes av arbeidet med innsatsområdet Oversikt over personopplysninger.
Juridiske aspekter
Selv om tiltaket har en side til innsyn, vil opplysningene som skal inn i en slik løsning, antagelig ikke følge av innsynsretten i art. 15. Innsynsretten gir den registrerte rett til å kreve innsyn i personopplysningene den behandlingsansvarlige behandler, men oppstiller ikke en rett til å kreve å få disse utlevert i et spesielt format eller sammenstilt og strukturert for et annet formål.
Tiltaket kan ses i lys av reglene om dataportabilitet (pvf art. 20). Denne rettigheten begrenses imidlertid til personopplysninger den registrerte selv har gitt til den behandlingsansvarlige. I tillegg oppstiller art. 20 nr. 3 et unntak for behandling som er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Det aller meste av det offentliges behandling av personopplysninger vil dermed omfattes av unntaket.
Regelverket oppstiller imidlertid, slik vi ser det, ingen åpenbare skranker som er til hinder for at tiltaket kan gjennomføres, men tilgjengeliggjøringen av “kjerneopplysninger” kan nok ikke kreves eller pålegges den behandlingsansvarlige med bakgrunn i personvernforordningens bestemmelser. Det er nedsatt et utvalg for en helhetlig regulering av viderebruk av opplysninger fra det offentlige. Utvalget skal blant annet vurdere om det bør innføres en plikt til tilgjengeliggjøring av visse typer offentlig data. Videre arbeid med dette tiltaksområdet bør ses i lys av de vurderingene dette utvalget gjør.
Selve den faktiske delingen fra den registrerte til ny behandlingsansvarlig mottaker, vil antageligvis basere seg på samtykke (jf. art. 6 nr. 1 a). Et slikt samtykke må tilfredsstille alle vilkårene personvernforordningen oppstiller for gyldig samtykke (art. 4 nr. 11, jf. art 7), herunder kravet om at samtykke må være frivillig avgitt.
Dersom tiltaket skal implementeres, må det vurderes opp mot kommende regelverk som eIDAS og Data Governance Act.
Avhengigheter
Det er en avhengighet til innsatsområdet Oversikt over personopplysninger, da de opplysningene som defineres som kjerneopplysninger, dokumenteres her.
Tiltaket kan også sees i sammenheng med innsatsområdet Veiledning og innsyn for innbygger ettersom tiltaket også er en løsning for å tilgjengeliggjøre noen personopplysninger til innbyggeren.
Tekniske aspekter
Tiltaket bør sees i sammenheng med eIDAS-lovforslaget som foreligger, og som foreslår å innføre en digital lommebok for alle EU-borgere.