Rapport Innsynsløsning – tekniske og juridiske muligheter

Anbefalinger for veien videre

De foreslåtte tiltakene skal gi nytteverdi for flest mulig innbyggere, gjennom tilstrekkelig tilrettelegging og styring på nasjonalt nivå.

    Digdir illustrasjon to personer med turlue stabler røde klosser

    Denne utredningen har identifisert tre innsatsområder som skal legge til rette for økt innsyn i og råderett over egne personopplysninger. Innsatsområdene adresserer også innbyggers behov for informasjon, oversikt og veiledning.

    Med god informasjon, god oversikt og god veiledning kan ofte innbyggerens behov oppfylles før det blir nødvendig å søke innsyn. I andre tilfeller vil ikke informasjon kunne dekke innbyggers behov. Rapporten peker derfor også på tiltak som skal bistå virksomheter med å gi innsyn som er av god kvalitet og i tråd med regelverket. Den enkelte virksomhet skal innen for rammene av tiltakene kunne prioritere arbeid på de områdene som gir størst verdi innenfor deres ansvarsområder.

    Innsatsområde 1: Oversikt over personopplysninger

    Innsatsområdet handler om å gi innbyggeren et kart over terrenget. Vi har samlet tiltak som skal understøtte innbyggers informasjonsbehov knyttet til behandling av personopplysninger på tvers av det offentlige. God oversikt kan også bidra til en forståelse som gjør at innsyn ikke alltid er nødvendig.

    • Tiltak: Tilgjengeliggjøre oversikt for innbygger
    • Tiltak: Definere rammer og verktøy for behandlingsoversikter

    Innsatsområde 2: Veiledning og innsyn for innbygger

    Innsyn etter personopplysningsloven kan oppleves vanskelig og uklart. Vi foreslår tre tiltak som skal støtte innbyggere og virksomheter til å forstå og bruke innsynsretten.

    • Tiltak: Utvikle en løsning som gjør det enklere å be om innsyn
    • Tiltak: Stimulere til deling av erfaringer og løsninger
    • Tiltak: Etablere en standard for innsyn

    Innsatsområde 3: Kontroll over egne personopplysninger

    Innsatsområdet skal gi den registrerte tilgang til egne opplysninger, og legge til rette for viderebruk av personopplysninger både for innbyggere og for virksomheter.

    • Tiltak: Definere og gi innbygger tilgang til "Mine kjerneopplysninger"

    Det store bildet

    Problemstillingene i utredningen berører mange viktige samfunnsmessige spørsmål som handler om grunnleggende demokrati- og samfunnsutvikling. Noen av temaene går utover denne utredningens mandat, men vi ønsker likevel å løfte frem det vi mener vil være viktig for det videre arbeidet.

    Personvernets betydning for demokratiet

    Godt personvern er en forutsetning for å opprettholde demokrati og ytringsfrihet. Det er derfor av avgjørende betydning at innbyggeren gjøres i stand til å utøve sine rettigheter på en best mulig måte. Selv om det er de behandlingsansvarlige virksomhetene som plikter å etterleve sine forpliktelser etter personvernforordningen, kan nasjonale løsninger og virkemidler hjelpe virksomhetene i dette arbeidet. Det må samtidig vurderes hvor omfangsrikt det er hensiktsmessig å bygge nasjonale innsyns- og kontrolløsninger, sett opp mot andre initiativer med tilsvarende virkninger.

    Ikke-digitale innbyggere og utenforskap

    Hvordan rettighetene og behovene til ikke-digitale innbyggere skal ivaretas er et generelt spørsmål som er sentralt for det videre digitaliseringsarbeidet i offentlig sektor. Tiltakene som foreslås i denne utredningen, er primært innrettet mot utvikling og forbedring av digitale løsninger. Personvernforordningen inneholder imidlertid viktige rettigheter som gjelder for alle innbyggere, uavhengig av deres digitale kompetanse. For å hindre ytterlige utenforskap, foreligger det et generelt behov for å lage løsninger som ivaretar ikke-digitale brukere i tilstrekkelig grad.

    Oppgavedeling

    Et annet sentralt spørsmål er hvorvidt man skal satse på nasjonale løsninger eller på sektorløsninger, og hva som skal løses hos virksomhetene selv. Helsesektoren har for eksempel allerede utviklet innsyns- og kontrolløsninger. Fra et innbyggerperspektiv kan det være ønskelig med fellesløsninger, fordi man da får færre tjenester å forholde seg til, og det er enklere å få oversikt på tvers. Samtidig skaper fellesløsninger utfordringer i form av økt kompleksitet blant annet med tanke på ansvar, forvaltning og eierskap.

    Digdir illustrasjon person med lue ser gjennom gult teleskop

    Forutsetninger for en vellykket gjennomføring

    Iverksetting av tiltakene bør skje gjennom en trinnvis planlegging og gjennomføring for å redusere risiko knyttet til tid- og pengebruk på utvikling som ikke gir verdi for innbyggerne. Virksomhetene har også ulike behov og utgangspunkt, avhengig av størrelse, samfunnsoppdrag og digital modenhet. Gjennomføring av tiltakene vil derfor forutsette en tilnærming som tar hensyn til at utgangspunktet for virksomhetene er forskjellig.

    En annen forutsetning for en vellykket gjennomføring er samfunnsøkonomiske beregninger av kostnader og nytte for innsatsområdene. Siden tiltakene presentert i denne utredningen er på et tidlig stadium, er ikke konseptene tilstrekkelig konkretisert til å beregne virkningene. Videre arbeid med tiltakene bør inkludere samfunnsøkonomisk analyse.

    Vi har ikke identifisert vesentlige juridiske hindre for at innbyggere skal kunne få oppfylt retten til å kreve innsyn i opplysninger om seg selv. Det vil, i tilknytning til eventuell etablering av tekniske løsninger, være behov for juridiske avklaringer, eksempelvis privates bruk av offentlige fellesløsninger.

    Det videre arbeidet bør ta høyde for hvordan iverksatte tiltak vil kunne påvirke antall innsynskrav som virksomhetene mottar. Omfanget av innsynskrav er beskjedent for de virksomhetene vi har intervjuet i arbeidet med utredningen, mens for selvbetjente løsninger er tallet noe høyere. Både innbyggers og virksomhetenes interesser må dermed avveies mot hva som er et riktig nivå for utvikling av løsningene.

    Mulighet for å bruke fullmakt er sentralt for at innbyggerne skal kunne utøve sine rettigheter. Fullmakt og representasjon er også viktig på andre områder i privat og offentlig sektor, og vi ser behov for en mer samordnet praksis knyttet til forvaltningen av fullmakter.

    Personvern er tett sammenkoblet med informasjonssikkerhet og informasjonsforvaltning. De tre fagområdene bør knyttes tettere sammen på et nasjonalt nivå, slik at kunnskap knyttet til etterlevelse av innbyggers rettigheter etter personvernforordningen i større grad deles.

    En annen forutsetning er at det videre arbeidet med tiltakene baseres på tydelige verdier og prinsipper for å sikre virkninger som treffer de målene man ønsker å oppnå. Bruk av teknologi bidrar til å skape normer i samfunnet, og teknologiske valg kan få utilsiktede konsekvenser. Utviklingen av fellesløsninger bør ha et bredt perspektiv på hvordan de påvirker samfunnet. Dette kan bygge på og samordnes med eksisterende personvernprinsipper og veiledere og bør ta hensyn til andre grunnleggende verdier og rettigheter, for eksempel med en knytning til FNs bærekraftsmål.

    Digdir illustrasjon person med turlue løper forran blå former

    Anbefaling og konklusjon

    Digitaliseringsstrategien sier at brukerne skal settes i sentrum gjennom utvikling av mer sammenhengende tjenester basert på viktige livshendelser. Dette må også gjelde for personvern. Sammenhengende tjenester utløser behov for sammenhengende personvern, der virksomheter samarbeider om å oppfylle innbyggernes rettigheter og behov. Utredningen svarer på hvordan innbyggerne kan få økt innsyn i og råderett over egne personopplysninger ved å peke på tre innsatsområder.

    Å sikre åpenhet i utviklingen og i designet av digitale tjenester, vil være en måte å adressere mange av de behovene vi har identifisert, på et tidlig stadium. Tilgjengelig informasjon i klarspråk vil bidra til å oppfylle innbyggernes behov ved å la dem forstå betydningen og omfanget av, samt rettigheter knyttet til behandlingen av sine personopplysninger.

    Personvern og innsyn har stor demokratisk betydning, og man bør derfor innføre tiltak som gir nytteverdi for flest mulig. Det vil sikre at tiltakene oppleves som relevante, at løsninger blir tatt i bruk, og at de identifiserte gevinstene realiseres. Tiltakene presentert i utredningen skal sikre tilstrekkelig tilrettelegging og styring på nasjonalt nivå, samtidig som den enkelte virksomhet selv kan prioritere arbeid på de områdene som gir størst verdi innenfor deres ansvarsområder.

    De foreslåtte innsatsområdene og tiltakene svarer på grunnlegge utfordringer, og peker på løsninger som er i tråd med Digitaliseringsstrategien. De tre innsatsområdene henger tett sammen, hvilket betyr at man kan forvente best effekt av tiltakene dersom de realiseres i sammenheng med hverandre. Konkret kan det innebære å iverksette tiltak knyttet til å gi oversikt og veiledning, etablere en innsynsforespørselsløsning og gi kontroll over egne kjerneopplysninger innenfor et avgrenset område. Å realisere tiltakene i relasjon til en livshendelse vil kunne gi overføringsverdi til digitaliseringsarbeidet i stort.