Rapport Innsynsløsning – tekniske og juridiske muligheter

Et kort sammendrag

Utredningen svarer på hvordan man gir innbyggere oversikt, innsyn og økt råderett over egne personopplysninger.

    Digdir Illustrasjon person med lue og sekk sitter og ser på blå stjernehimmel

    Innbyggernes rettigheter

    Innbyggerne er gjennom personvernregelverket gitt en rekke rettigheter når personopplysninger samles inn og brukes, eksempelvis rett til å kreve retting, sletting og å protestere mot behandlingen m.v. For å kunne benytte seg av disse rettighetene, forutsettes det at den enkelte har tilstrekkelig informasjon om blant annet formålet med og grunnlaget for at opplysningene behandles, samt hvilke konkrete personopplysninger som behandles om den enkelte innbygger. Muligheten for innsyn er en viktig rettighet, blant annet fordi kunnskapen innsynet gir gjør den registrerte i stand til å kunne hevde sine øvrige rettigheter.

    Selv om så og si alle virksomheter er bundet av det samme regelverket, har vi i vårt arbeid erfart at det er ulik forståelse av og praksis for hvordan innsyn skal gis. I tillegg er det utfordrende for innbygger å forstå hvor man skal henvende seg for å få informasjon og kreve innsyn.

    Ti sentrale behov

    Digdir illustrasjon gul ryggsekk_uten bakgrunn

    I arbeidet med utredningen har vi identifisert ti sentrale behov knyttet til innsyn i personopplysninger, både hos den enkelte innbygger og hos offentlige etater, bedrifter og organisasjoner, samlet kalt virksomheter. Videre har vi utredet juridiske og teknologiske forutsetninger og foreslår tre sentrale innsatsområder med tilhørende tiltak for videre arbeid.

      Innbyggernes behov

      Som innbygger ønsker jeg:

      Digdir illustrasjon veiskilt blå_uten bakgrunn
      1. Oversikt over personopplysningskilder i offentlig sektor, slik at jeg får en bedre forståelse av hvordan det offentlige fungerer og hvilke personopplysninger som kan finnes om meg.
      2. Informasjon om hvordan virksomheter behandler personopplysninger, slik at jeg kan ha tillit til dem og hvordan de behandler informasjon om meg.
      3. Veiledning for å søke innsyn på en effektiv og god måte.
      4. Oversikt over hvor det finnes opplysninger om meg, slik at jeg får økt forståelse for hvordan opplysningene om meg brukes, og kan søke innsyn i det jeg har behov for.
      5. Innsyn i egne opplysninger på et hensiktsmessig språk og form, slik at jeg kan forstå min egen situasjon, virksomhetenes bruk av mine personopplysninger og utøve mine øvrige rettigheter slik som retting og sletting.
      6. Råderett over egne personopplysninger, slik at jeg kan ta i bruk tjenester jeg har behov for.

      Virksomhetenes behov

      Behandlingsansvarlige virksomheter ønsker seg:

      1. Oversikt over personopplysninger og hvordan de behandles, slik at virksomheten oppfyller innbyggers rettigheter på en måte som ivaretar åpenhet og tillit, og legger til rette for ansvarlig bruk og viderebruk av personopplysninger.
      2. Standardisering av krav til systemer, slik at virksomheten enkelt kan gi innsyn etter personvernforordningen.
      3. En beste praksis for hva man gir innsyn i og hvordan, slik at det blir enklere å gjøre vurderinger rundt innsyn.
      4. Verktøy og prosesstøtte for behandling av innsynskrav, slik at virksomheten kan håndtere innsynskravene på en god og strukturert måte.

      Juridiske og teknologiske perspektiver

      Personvernforordningen erstattet i 2018 personverndirektivet. Forordningen er gjennomført i norsk rett gjennom personopplysningsloven § 1. I tillegg gir loven en rekke utfyllende nasjonale regler om vern og behandling av personopplysninger der forordningen åpner for nasjonale regler. I denne sammenheng er § 16, som regulerer unntak fra retten til innsyn, særlig relevant.

      Selv om personvernforordningen i stor grad viderefører mange av reglene i direktivet, er det noen viktige endringer. Blant annet er reguleringen lovteknisk sett en forordning, hvilket innebærer at innholdet blir direkte gjeldende i medlemslandene i EØS-området. Videre er det innført betydelige gebyrsatser, som nok har medført at innføringen av personvernforordningen har fått mye oppmerksomhet både hos virksomheter og i det offentlige rom.

      Digdir illustrasjon turlue_uten bakgrunn

      Innsyn i egne personopplysninger er allerede en godt etablert rettighet. I personvernforordningens fortalepunkt nr. 63 går det fram at det er ønskelig at innsyn gis gjennom digitale løsninger, der dette er mulig og tilstrekkelig sikkert. Regelverket åpner i så måte allerede i dag for tiltak som forbedrer kvaliteten på innsyn og som legger opp til digitale løsninger som forenkler prosessene.

      Denne utredningen er på et konseptuelt nivå. Dersom tiltak knyttet til de skisserte innsatsområdene realiseres, må det gjennomføres konkrete juridiske vurderinger og videre analyse.

      For å lykkes med å etablere en digital løsning for innsyn og kontroll må informasjonen være tilgjengelig teknisk. IKT-løsninger må ha systemstøtte for å utføre innsyn, og aller helst kunne støtte automatiske prosesser. Da kreves det gode løsninger for samhandling som er egnet til dette. I tillegg må man kunne trekke ut riktig informasjon til riktig bruker og at informasjonen kan formateres slik at den forstås av bruker. Det er opp til den enkelte virksomhet å utvikle tekniske løsninger for utveksling av data fra sine løsninger.

      Tre innsatsområder som svarer på behovene

      Basert på vår innsikt i behov og arbeidet med å forstå juridiske og teknologiske forutsetninger, skisserer vi tre innsatsområder. Innsatsområdene kan sees hver for seg, men samlet utgjør de en helhetlig tilnærming på utfordringene vi har identifisert. Til hvert innsatsområde foreslår vi tiltak på et konseptuelt nivå.

      1 – Oversikt over personopplysninger

      For at innbyggeren skal kunne kreve innsyn etter personvernfordningen, må man vite hvem man kan henvende seg til, og om hva. Mange etterspør også generell informasjon om hvordan det offentlige behandler og deler personopplysninger, heller enn et konkret innsyn i egne personopplysninger. God oversikt kan derfor bidra til en forståelse som gjør at innsyn ikke alltid er nødvendig. Innsatsområdet handler om å gi innbyggeren kartet over terrenget.

      Digdir illustrasjon person med turlue og sekk ved turskilt_rød bakgrunn

      Tiltak: Tilgjengeliggjøre oversikt for innbygger

      I henhold til personvernforordningens art. 13 og 14 skal alle virksomheter publisere en oversikt over hvilke kategorier personopplysninger man behandler, som en del av sin personvernerklæring. Men, en innbygger har en relasjon til mange offentlige virksomheter, noen av dem vet man kanskje ikke om en gang. Gjennom å høste og sammenstille hvem som har disse opplysningene, foreslår vi å tilby innbyggerne en felles oversikt.

      Tiltak: Definere rammer og verktøy for behandlingsoversikter

      For at innbyggerne skal få en oversikt over hvilke virksomheter som behandler personopplysninger om dem, trenger virksomhetene å strukturere og tilgjengeliggjøre informasjon knyttet til personopplysningene de behandler. Vi foreslår derfor å legge til rette for at virksomhetene kan dele strukturert informasjon i en felles behandlingsoversikt.

      Oversikten bør som et minimum inkludere behandlingsansvarliges bruk av personopplysninger man er pliktig til å dokumentere i protokoll jf. personvernforordningens art. 30.

      2 – Veiledning og innsyn for innbygger

      Innsatsområdet «Veiledning og innsyn for innbygger» representerer på mange måter kjernen i denne utredningen. Å søke innsyn etter personopplysningsloven oppleves i dag som tungt for mange innbyggere. Innsiktsarbeidet vårt har vist at hverken innbyggere eller virksomheter alltid har et klart forhold til hvilket regelverk det søkes innsyn etter.

      Innbyggerne har i dag en rett til å kreve innsyn i egne personopplysninger etter personvernforordningen artikkel 15, og alle virksomheter plikter å kunne tilby dette til sine brukere. For en bruker kan det likevel være vanskelig å få opp et helthetlig bilde, nettopp fordi disse opplysningene er spredt på tvers av så mange ulike virksomheter.

      Digdir illustrasjon person med turlue og sekk ved veiskilt

      Tiltak: Utvikle en løsning som gjør det enklere å be om innsyn

      For en innbygger er det ikke nødvendigvis gitt hvor man skal henvende seg eller hvilken type innsyn som passer best for situasjonen. Vi foreslår et tiltak for å samle veiledning og muligheten til å be om innsyn på ett sted, og på den måten sette innbyggeren i sentrum.

      Tiltak: Stimulere til deling av erfaringer og løsninger

      I arbeidet med denne utredningen har vi sett mange eksempler på gode løsninger, veiledning og praksis knyttet til å skape godt personvern. Vi foreslår å stimulere til økt kompetansedeling, erfaringsutveksling og gjenbruk av tekniske løsninger på tvers.

      Tiltak: Etablere en standard for innsyn

      Virksomheter opplever i dag at de har mange fagsystemer som ikke understøtter personvern generelt og innsynsretten spesielt. Vi foreslår å etablere en standard for hvordan virksomhetenes systemer skal kunne håndtere innsyn.

      3 – Kontroll over egne personopplysninger

      Dette innsatsområdet skiller seg fra de øvrige innsatsområdene ved at formålet med tiltakene er økt datadeling, ikke kontroll med offentlige virksomheters bruk av personopplysninger. Formålet er snarere å gi den registrerte tilgang til å bruke egne opplysninger, heller enn innsyn i egne opplysninger.

      Digdir illustrasjon to personer med turlue sitter ved stor sirkel

      Tiltak: Definere og gi innbygger tilgang til "Mine kjerneopplysninger"

      Vi foreslår å definere et sett med kjerneopplysninger som innbygger har ulik grad av råderett over. Det kan for eksempel være førerkort, vitnemål, inntektsopplysninger, kontaktinformasjon, fullmakter og andre sentrale personopplysninger som er nyttige for innbygger i sin hverdag.

      Innbyggeren kan for eksempel dele kontonummer og andre kjerneopplysninger gjennom en digital lommebok, for å bedre tjenesteyting fra ulike virksomheter.

      Hva kan resultatene bli?

      For innbyggere vil tiltakene føre til økt sikkerhet og tillit til behandling av personopplysninger. De vil bruke mindre tid knyttet til å få oversikt over hvordan deres personopplysninger blir benyttet, hvor man skal henvende seg, og å forstå hvilke rettigheter man har. Det antas også at det kan bli en endring i antall innsynsforespørsler avhengig av hvordan tiltakene implementeres.

      Ved at innebygd personvern er ivaretatt i alle dimensjoner av digitaliseringen, vil innbyggerne oppleve bedre personvern. Gjenbruk og viderebruk av opplysninger i eksisterende tjenester gir også tidsbesparelser for innbyggerne.

      For virksomheter vil tiltakene føre til tidsbesparelser knyttet til mer presise forespørsler rundt behandlingen av personopplysninger. God veiledning og effektive prosesser vil gi bedre kvalitet på innsynsforespørsler, noe som igjen sparer tid og ressurser. I tillegg vil de oppnå bedre datakvalitet gjennom offentlig tilgjengeliggjøring av behandlingsoversikt for virksomhetene og personopplysningene som finnes i disse.

      Felles inngang, kontaktpunkt og beste praksis gir også mulighet til erfaringsutveksling og kvalitetssikring mellom virksomhetene, noe som både vil være tids- og kostnadsbesparende.

      For private virksomheter vil tiltakene føre til økt verdiskapning gjennom økt viderebruk av opplysninger.

      Forutsetninger for en vellykket gjennomføring

      Iverksetting av tiltakene bør skje gjennom en trinnvis gjennomføring for å redusere risiko knyttet til tid- og pengebruk på utvikling som ikke gir verdi for innbyggerne. Virksomhetene har også ulike behov og utgangspunkt, avhengig av størrelse, samfunnsoppdrag og digital modenhet. Gjennomføring av tiltakene vil derfor forutsette en tilnærming som tar hensyn til at utgangspunktet for virksomhetene er forskjellig.

      En annen forutsetning for en vellykket gjennomføring er samfunnsøkonomiske beregninger av kostnader og nytte for innsatsområdene. Siden tiltakene presentert i denne utredningen er på et tidlig stadium, er ikke konseptene tilstrekkelig konkretisert til å beregne virkningene. Videre arbeid med tiltakene bør inkludere samfunnsøkonomisk analyse.

      Vi har ikke identifisert vesentlige juridiske hindre for at innbyggere skal kunne få oppfylt retten til å kreve innsyn i opplysninger om seg selv. Det vil, i tilknytning til eventuell etablering av tekniske løsninger, være behov for juridiske avklaringer, eksempelvis privates bruk av offentlige fellesløsninger.

      Det videre arbeidet bør ta høyde for hvordan iverksatte tiltak vil kunne påvirke antall innsynskrav som virksomhetene mottar. Omfanget av innsynskrav er beskjedent for de virksomhetene vi har intervjuet i arbeidet med utredningen, mens for selvbetjente løsninger er tallet noe høyere. Både innbyggers og virksomhetenes interesser må dermed avveies mot hva som er et riktig nivå for utvikling av løsningene.

      Mulighet for å bruke fullmakt er sentralt for at innbyggerne skal kunne utøve sine rettigheter. Fullmakt og representasjon er også viktig på andre områder i privat og offentlig sektor, og vi ser behov for en mer samordnet praksis knyttet til forvaltningen av fullmakter.

      Veien videre

      Digdir illustrasjon gult teleskop

      Digitaliseringsstrategien sier at brukerne skal settes i sentrum gjennom utvikling av mer sammenhengende tjenester basert på viktige livshendelser. Å sette brukerne i sentrum må også gjelde for arbeid med personvern og håndtering av personopplysninger.

      Å sikre åpenhet i utviklingen og i designet av digitale tjenester vil være en måte å adressere mange av de behovene vi har identifisert på et tidlig stadie. Tilgjengelig informasjon i klarspråk vil bidra til å oppfylle innbyggernes behov ved å la dem forstå betydningen, omfanget av, og rettigheter knyttet til behandlingen av sine personopplysninger.

      Økt tillit, aktivt deltagende innbyggere, og generelt mer åpenhet kan være et insentiv for virksomheter til å bidra til utviklingen. Tillit og åpenhet rundt personopplysninger har et stort potensial for verdiskaping.

      De tre innsatsområdene henger tett sammen. Det betyr at man kan forvente best effekt av tiltakene dersom de realiseres i sammenheng med hverandre. Sammenhengende tjenester krever et sammenhengende personvern, der virksomheter samarbeider om å oppfylle innbyggernes rettigheter og behov. Å realisere tiltakene i relasjon til en livshendelse vil kunne gi overføringsverdi til digitaliseringsarbeidet i stort.

      Bakgrunn for arbeidet

      Bakgrunnen for arbeidet er et oppdrag som Digitaliseringsdirektoratet fikk fra Kommunal- og distriksdepartementet (KDD) i revidert tildelingsbrev for 2021. Digitaliseringsdirektoratet leverte utredningen til KDD medio mai 2022.

      Tverrfaglig arbeidsgruppe, tett på fagmiljøene

      Arbeidet er gjennomført av en tverrfaglig arbeidsgruppe som har vært satt sammen av teknologer, jurister, forretningsutviklere og fagpersoner fra informasjonsforvaltningsmiljøet i Digitaliseringsdirektoratet.

      Vi har gjennomført en rekke intervjuer og samtaler med representanter for innbyggerne, og med aktører fra offentlige og private virksomheter. Vi har også gjennomført to verksteder med omtrent 50 deltagere.