Digitalisering av offentlig sektor
Digitaliseringen er kommet langt i offentlig sektor, og stadig nye tjenester tilbys i digital form. Det blir stadig flere som tar i bruk den teknologiske plattformen i Altinn, autentiseringsløsningene i ID-porten brukes i stadig større grad, og digital post og sikker digitalpostboks er i ferd med å tas i bruk i minst to varianter. Likevel er det ennå mange av de viktige digitaliseringsprosessene som er i startgropa. Det er derfor viktig at vi er på banen for å påvirke de riktige aktørene. Vi må sørge for å fremme personvern i alle disse prosessene. Det er fremdeles viktig at vi konsentrerer oss om myndighetsutøverne og beslutningstakerne, idet det er her de viktigste premissene blir lagt. Eksempler på områder der det vil komme utfordringer, er autentisering av ansatte/virksomheter, nasjonalt ID-kort, bruk av biometri til autentisering og identifisering, A-ordningen og andre tjenester der deling av data er sentrale elementer.
Ved deling og gjenbruk av personopplysninger, utfordres prinsippet om formålsavgrensning i personvernlovgivningen. Samtidig er det slik at teknologi gir muligheter for å utvikle og effektivisere offentlig sektor. For å sikre et godt personvern ved utveksling og deling av personopplysninger mellom ulike offentlige instanser, og mellom offentlige og private aktører, må ansvarsforholdene være tydelig avklart. For at innbyggerne skal kunne ivareta sitt eget personvern, må de få informasjon om hvilke instanser som lagrer, behandler og utveksler opplysninger om dem, til hvilke formål, samt hvordan de kan ivareta retten sin til innsyn, retting og sletting.
Offentlig sektor er storforbruker av alle typer personopplysninger. Opplysningene benyttes særlig for å fastslå hvilke rettigheter og plikter den enkelte innbygger har. Det er derfor i innbyggernes interesse at det offentlige har tilgang på korrekte personopplysninger. Hvis videreutviklingen av Altinn, eID-løsningene og en sikker digital postboks tar utgangspunkt i prinsippene for innebygd personvern, kan digitaliseringen av offentlig sektor på noen områder bidra til å bedre innbyggernes personvern.
Det viktige innenfor også denne sektoren er å skape forståelse for nytten av godt personvern, bidra til god regelverksetterlevelse, og bidra til at internkontroll og informasjonssikkerhet er prioritert i digitaliseringsprosjekter og i innføring og bruk av slike løsninger.
Gjennomførte aktiviteter
Datatilsynet utarbeidet i 2013 «Strategi for godt personvern i digitaliseringen av offentlig sektor». Strategien ble revidert i 2014 og danner grunnlaget for de aktivitetene vi prioriterer innenfor dette området.
Vi har gjennomført kontroller med både statlige og kommunale virksomheter som vi over tid har opplevd at har utfordringer med å etterleve kravene til internkontroll og informasjonssikkerhet. Etter vår vurdering er det viktig at virksomhetene først har kommet opp på et akseptabelt nivå med internkontroll og informasjonssikkerhet, før de tar fatt på de store digitaliseringsprosessene.
Vi har gjennomført i alt ti veiledningsmøter med aktører i sektoren. I tillegg kommer utstrakt veiledning per telefon og e-post.
Vi deltar på flere arenaer der vi ønsker å gjøre Datatilsynets ståsted og holdninger kjent, og vi er tilstede på konferanser med både foredrag og stands, og deltar gjerne i debatten knyttet til personvern i digitaliseringen av offentlig sektor. Vi forsøker alltid å bidra med foredrag der vi kan møte mange som har roller i tilknytning til digitalisering, og internkontroll og informasjonssikkerhet i tilknytning til dette.
Vi har også jevnlig møter på toppnivå med alle sentrale aktører innenfor digitalisering, og jobber for å få en fast plass i samarbeidsorganet Skate (Styring og koordinering av tjenester i e-forvaltning).
Vi synes vi har fått til en god og hensiktsmessig kombinasjon av virkemidlene våre på dette området.
Tilsyn med offentlige virksomheter – internkontroll og informasjonssikkerhet
I 2014 gjennomførte vi kontroller med 18 forskjellige offentlige virksomheter; elleve kommuner, fire direktorater mv., en fylkeskommune, ett fylkesmannsembete og ett departement. Dette er både stikkprøvekontroller, risikobaserte kontroller og etterkontroller, i den forstand at enkelte av kommunene ble kontrollert som en oppfølging av brevkontroller fra 2011. Samtlige kontroller hadde etterlevelse og dokumentasjon av internkontroll og informasjonssikkerhet som tema.
Selv om det er store variasjoner i hvordan etterlevelsen og dokumentasjon framstår hos de forskjellige tilsynsobjektene, kan vi konstatere at det er et gjennomgående problem at mange offentlige virksomheter ikke har tilfredsstillende rutiner for å oppfylle pliktene i personopplysningslovgivningen.
Dette gjelder særlig pliktene til å:
- ha oversikt over hvilke behandlinger av personopplysninger virksomheten har,
- sørge for at innbyggere blir informert om hvordan opplysninger blir håndtert,
- sørge for at innsyn blir håndtert på riktig måte,
- gjennomføre og dokumentere risikovurderinger og sikkerhetsrevisjoner,
- ha oversikt over databehandlere og ha tilfredsstillende databehandleravtaler med disse.
Vi har ikke kunnet fastslå at det er signifikante forskjeller knyttet til skillet mellom stat og kommune, regionale forskjeller eller forskjeller knyttet til størrelse på virksomhetene. Det er gjerne slik at store virksomheter har mer og bredere kompetanse, men det er ikke alltid slik at dette gir seg utslag i bedre ivaretakelse av personvern og oppfyllelse av pliktene i personopplysningsloven. Imidlertid mener vi å kunne se at virksomheter som har personvernombud, gjennomgående har en bedre ivaretakelse av personvernet og oppfyllelse av pliktene i loven. Dette mener vi viser at ordningen med personvernombud, og opplæringen av disse, har en positiv effekt for personvernet.
Like fullt er det bekymringsfullt at virksomheter som har ansvar for digitaliseringsprosesser, og virksomheter som i økende grad benytter nye digitale løsninger, ikke har tilstrekkelig fokus på å ivareta personvernet og å oppfylle pliktene i personopplysningsloven knyttet til internkontroll og informasjonssikkerhet. Dette gjør at vi også i kommende år vil måtte bruke tilsynsvirkemiddelet for å sikre at nye digitale tjenester ivaretar personvernet, og at de virksomhetene som benytter dem har god nok internkontroll og informasjonssikkerhet.
Sentrale høringsuttalelser
Datatilsynet har i 2014 hatt tre høringer til uttalelse innenfor tema digitalisering. Vi har ikke hatt innvendinger mot noen av disse. I den grad vi har gitt kommentarer, var det kun for å uttrykke støtte til det som var foreslått, eller for å understreke punkter som var berørt eller behandlet.
Saksbehandling
Vi har behandlet tips om forhold i offentlig sektor som omhandler personvern. Ut i fra størrelse og omfang har vi så prioritert hvilke saker vi skulle følge opp, og på hvilke måter. Vi har ikke gjennomført tilsyn basert på tips, men vi har fulgt opp innkomne henvendelser ved å be om redegjørelser. Dette har blant annet resultert i at vi har fattet vedtak om endring av rutiner og sikkerhetstiltak.
Vi har mottatt og behandlet en rekke avviksmeldinger fra sektoren, der det har vært uautorisert utlevering av personopplysninger om registrerte eller ansatte. Også her har vi i enkelte saker bedt om redegjørelser og hatt påfølgende saksbehandling.
Øvrige aktiviteter
Vi har oppsummert funnene våre og delt denne kunnskapen i ulike sammenhenger. Vi har blant annet deltatt som foredragsholdere på små og store arrangement hvor vi har møtt ansatte i offentlig sektor, kommuner, fylkeskommuner, direktorater, departementer, leverandører av IKT-løsninger og andre aktører i sektoren.
Vi har gjennomført en rekke møter med beslutningstakere i offentlig sektor og leverandører av IKT-løsninger, for å se på hvordan de best kan bygge og vedlikeholde gode internkontrollsystemer og god informasjonssikkerhet for å ivareta personvernet. Vi forsøker å gjøre aktører i sektoren til gode bestillere av løsninger med innebygd personvern, og vi har gitt råd til leverandører om å ta hensyn til innebygd personvern i deres leveranser til offentlig sektor.
Fremtidige utfordringer
Selv om vi har lyktes med å skape oppmerksomhet rundt aktiviteten vår på området, og at vi har lyktes med å forbedre internkontroll og informasjonssikkerhet hos mange virksomheter, tyder funnene fra kontrollene på at sektoren fremdeles har betydelige mangler og en relativt lang vei å gå, før vi kan si at sektoren som sådan er på et tilfredsstillende nivå. Riktignok finnes det flere unntak, og mange har kommet langt i etterkant av kontroller eller veiledning fra oss. Like fullt er det bekymringsfullt at sektoren har så betydelige mangler knyttet til internkontroll og informasjonssikkerhet som den har.
Dette betyr at vi, sammen med andre aktører, må arbeide for at sektoren bedrer seg i arbeidet med internkontroll og informasjonssikkerhet. Vi må fortsette å bruke våre virkemidler for å høyne nivået i sektoren.
Vi vet at økt digitalisering og flere digitale løsninger, øker kravet til god internkontroll og informasjonssikkerhet. Det blir derfor enda viktigere at vi kommer tidlig på banen i slike prosesser. Etter kontroller gjennomført i 2014, har vi varslet at vi vil ilegge overtredelsesgebyr i fem tilfeller. Det videre forløpet til disse sakene kan ha betydning for at sektoren i større grad tar inn over seg kravene i regelverket.
Det er også viktig å kunne påvirke beslutningstakere, slik at personvernspørsmål er på agendaen så tidlig som mulig i digitaliseringen. I så måte er kontaktmøter på toppledernivå med de viktigste «digitaliseringsaktørene», tett dialog med de ansvarlige departementene og deltakelse på beslutningsarenaer som Skate, viktig for å sikre godt personvern i digitaliseringen av offentlig sektor.